Link zur News:
http://www.3dcenter.org/news/welche-dienste-sind-von-heartbleed-betroffen


Update 12.4.2014, 06:37
Skype (nicht betroffen) hinzugetragen

Schön übersichtlich, besten Danke dafür :)

Zu Android schreibt Golem:

In der bei Android mitgelieferten OpenSSL-Version wurde Heartbeat am 25. Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des problematischen Codes. Vermutlich sind damit nur wenige Android-Telefone und Versionen betroffen. Die einzige Version von Android, die damit betroffen ist, ist laut Googles Sicherheitsteam die Version 4.1.1.

Unabhängig davon ist es natürlich möglich, dass einzelne Apps OpenSSL nutzen und selbst den verwundbaren Code mitliefern. Das kann nur im Einzelnen für jede App überprüft werden.

http://www.golem.de/news/openssl-wichtige-fragen-und-antworten-zu-heartbleed-1404-105740.html

T-Online eMail X benutzt kein OpenSSL keine Aktion notwendig

Fehler beim Zeichen.

Kleiner aber nicht unwichtiger Fehler. Das Ding heißt Heartbleed nicht Heatbleed. Gerade weil es auch prominent in der Headline steht sollte man es schnell ändern. :-)

Kleiner aber nicht unwichtiger Fehler. Das Ding heißt Heartbleed nicht Heatbleed. Gerade weil es auch prominent in der Headline steht sollte man es schnell ändern. :-)


... C&P .... gefixt.




T-Online: Fehler beim Zeichen.


Gefixt.

Nett, ist ja schon mal ein Anfang. Ich hoffe, die Liste wird im Laufe der Zeit noch erweitert.

Vielen Dank für die Liste.

"Firefox & Thunderbird"
Dazu hätte ich folgende Info:
http://www.soeren-hentzschel.at/mozilla/2014/04/11/heartbleed-sicherheitswarnung-von-mozilla-bzgl-persona-und-firefox-accounts/
https://blog.mozilla.org/security/2014/04/08/heartbleed-security-advisory/

Update:
Folgende Programme wurden deshalb aktualisiert:
FileZilla Server 0.9.44 (https://filezilla-project.org/versions.php?type=server)
LibreOffice 4.2.3 (http://www.libreoffice.org/download/release-notes/)

Die Liste vermischt Firmennamen, Websites, Web-Dienste, E-Mail Dienste, Betriebssysteme bzw. einzelne Betriebssystemkomponenten, Anwendungen und möglicherweise noch viel mehr. Außerdem fehlen Quellenangaben und damit meine ich nicht pseudo-wissenschaftliche citation-needed Wikipedia-Quellenangaben, sondern einfach was ihr bei eurer Recherche gefunden habt, damit man selbst nachprüfen kann.

Welche Primadonna OpenSSL in den Linux Mainline Kernel oder diverse Distributions Kernel eingepflegt hat wäre interessant zu wissen. Die Git Commit ID ist zwingend mit anzugeben. Wer "was ganz anderes" mit "Linux" meint, der weis nicht wovon er redet. (Vergleich: Firefox auf einem Windows Kernel ist sicher, Firefox auf einem Linux Kernel laut Liste aber angeblich nicht? System Administratoren können mit Paketverwaltungswerkzeugen nachprüfen welche Pakete welche Abhängigkeiten haben und welche sie sich davon auf ihren Server installiert haben. Für Debian/APT-basierte Distributionen sei der Befehl `apt-rdepends --reverse openssl` als Wegweiser genannt, gilt natürlich nicht für selbst- bzw. fremdgefrickelt und ent-tar-tes.)

Für Durchschnitts-Desktop-Benutzer wäre eine Liste mit betroffenen Diensten und seit wann diese in ihrer Produktionsumgebung Heartbleed gefixt haben vielleicht interessant. Der Power-Flower-User und der Rest sollten so unruhig schlafen (http://blog.fefe.de/?ts=adb9cb8b) wie Fefe (http://blog.fefe.de/?ts=adb6862d).

Viel wichtiger: Was hat der Leser davon wenn er bei einem betroffenen Dienst sein Passwort wechselt, dieser aber weiterhin eine betroffene Version von OpenSSL verwendet? Nichts, oder? Klar sollten alle ihre Passwörter häufiger wechseln, aber die Sicherheitslücken bei den Anbietern bleiben so lange bestehen wie die betroffenen Komponenten in der betroffenen Version verwendet werden. Da hilft jetzt das Passwort zu wechseln langfristig überhaupt nicht, höchstens vielleicht eine Meldung beim Kundendienst (für die Monatsauswertung).

Jetzt ist (leider) erst mal Wochenende. Wer bis jetzt noch keine Entwarnung hat (als Verbraucher oder Unternehmen) und wer (als Unternehmen) seinen Dienstleister nicht angemessen für Überstunden bezahlt oder entsprechende Service-Level-Agreements im Vertrag hat und/oder sich keine Lohnsklaven zu Ramschpreisen in den bekannten Outsourcing Ballungsgebieten (Chennai, Manila, Cyberjaya, USA, etc.) gekauft hat, der wird wohl bis Montag warten müssen.

Trillian hat auch zeitnahe ein update gebracht

http://blog.trillian.im/

Wird dieser Artikel eigentlich weiterhin aktualisiert und bzgl anderer Websites ergänzt? Das wäre super :)