HeartBleed ist der Name eines kürzlich in der OpenSSL-Implementierung des HTTPS/TLS-Protokolls entdeckten Fehlers/einer Sicherheitslücke. Er ermöglicht es Angreifern, mithilfe speziell gestalteter Pakete, die einen „Buffer Over-Read“ auslösen, potenziell sensible Informationen (bis zu 64 KB auf einmal) zu erhalten. Dadurch können Passwörter, Benutzernamen, private Schlüssel und andere sensible Informationen offengelegt werden.
HotDocs ist davon nicht direkt betroffen, da
1) Keine HotDocs-Software stützt sich direkt auf OpenSSL-Bibliotheken oder -Code.
2) HotDocs Server wird immer auf Windows-basierten Servern bereitgestellt, auf denen OpenSSL standardmäßig nicht vorhanden ist.
3) HotDocs Server wird in der Regel in Kombination mit dem IIS-Webserver eingesetzt, der (standardmäßig) nicht auf OpenSSL basiert.
4) HotDocs Server wird häufig hinter Firewalls eingesetzt, wo HeartBleed-Angriffe ohnehin nicht so häufig vorkommen dürften.
5) HotDocs Cloud Services ist öffentlich zugänglich, basiert jedoch ebenfalls nicht auf OpenSSL und ist daher nicht anfällig für den HeartBleed-Bug.
Die einzige uns bekannte potenzielle Schwachstelle wäre, wenn jemand HotDocs Server auf einem öffentlich zugänglichen Windows-Server (d. h. einem Server, der nicht durch eine Firewall vor öffentlichen Angriffen geschützt ist) bereitstellen würde, auf dem neben IIS ein weiterer Webserver (z. B. Apache) läuft, der für die Verwendung von HTTPS über Windows-basiertes OpenSSL konfiguriert ist. In diesem Fall ist es die Webserver-Software auf diesem Rechner, die (solange sie nicht gepatcht ist) für den HeartBleed-Bug anfällig sein könnte; in diesem Fall wäre es möglich, dass HotDocs-bezogene Daten (Antwortsammlungen usw.) zu den Daten gehören, die einem potenziellen Angreifer zugänglich sind.
Zusammenfassend sind wir nicht der Ansicht, dass die HeartBleed-Sicherheitslücke direkte Auswirkungen auf HotDocs hat, und es ist unwahrscheinlich, dass sie die Nutzung von HotDocs durch unsere Kunden beeinträchtigt, außer in dem oben beschriebenen, relativ seltenen Fall.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf HotDocs.com. Im Juni 2024 erwarb Mitratech die fortschrittliche Dokumentenautomatisierungsplattform HotDocs. Der Inhalt wurde seither aktualisiert und enthält nun Informationen, die auf unser Produktangebot, Änderungen der Vorschriften und die Einhaltung von Vorschriften abgestimmt sind.
