SSL-Gau: Eiskalt erwischt

Aktuelles Geschehen, brandneue News findet ihr hier.

Moderator: tux-fan

SSL-Gau: Eiskalt erwischt

Beitragvon tux-fan » 09.04.2014 11:35

Wie ihr sicherlich gelesen habt, z.B. hier bei Heise-Online, gab es ein Problem mit OpenSSL, wenn es die TLS-Extension 'Heartbeat' nutzt. Natürlich hab ich daraufhin gestern sofort den neuesten Patch für OpenSSL auf den Server gepackt.

Hier noch zur Bestätigung, der Test für 'mrgreen.info'
Bild Bin nicht Signatur, ich putz hier nur.
Benutzeravatar
tux-fan
Forums-Fossil
 
Themen Autor
Beiträge: 1922
Themen: 238
Registriert: 28.07.2006 15:26
Wohnort: Paderborn

Re: SSL-Gau: Eiskalt erwischt

Beitragvon notafake » 09.04.2014 18:26

Hoppala, wie lange bestand den diese "Lücke" schon?
Der Mensch: Erst ist er, dann nicht mehr.
Benutzeravatar
notafake
FORUMPSYCHO
 
Beiträge: 1893
Themen: 121
Registriert: 16.07.2006 17:48
Wohnort: Kobuk Valley

Re: SSL-Gau: Eiskalt erwischt

Beitragvon tux-fan » 09.04.2014 18:32

Wahrscheinlich schon seit Jahren. Man müßte mal nachgucken (bei OpenSSL) wie lange es die 1.0.1 Serie schon gibt; ältere Versionen scheinen nicht betroffen zu sein.
Viel spannender ist die Frage, ob mein Hoster (1&1) kostenlos ein neues Zertifikat ausstellt; patchen ist ja nur die halbe Miete.

Edit: aus Wikipedia
OpenSSL-Version Erscheinungsdatum Anmerkung Referenz
1.0.1 14. März 2012 Nachfolger von 1.0.0e
1.0.1a 19. April 2012
1.0.1b 26. April 2012
1.0.1c 10. Mai 2012
1.0.1d 5. Februar 2013
1.0.1e 11. Februar 2013
1.0.1f 6. Januar 2014
1.0.1g 7. April 2014 behebt den Heartbleed-Fehler der Versionen 1.0.1 bis 1.0.1f

Edit: aus Heise-Online Bericht
Auch 1&1 und T-Systems konnten noch keine Strategie präsentieren, ob und wie sie den groß angelegten Austausch von Zertifikaten möglichst schnell organisieren wollen.
Bild Bin nicht Signatur, ich putz hier nur.
Benutzeravatar
tux-fan
Forums-Fossil
 
Themen Autor
Beiträge: 1922
Themen: 238
Registriert: 28.07.2006 15:26
Wohnort: Paderborn

Re: SSL-Gau: Eiskalt erwischt

Beitragvon C0d3ma5t3r SK11 » 09.04.2014 21:40

Irgendwo unfassbar. Aber Tuxi hat die Lücke gleich gefixt, besten Dank!

https://www.youtube.com/watch?v=rE5dW3BTpn4
"Wenn der Staat Pleite macht, geht natürlich nicht der Staat Pleite sondern seine Bürger."
Carl Fürstenberg,
deutscher Bankier
(1850-1933)
Benutzeravatar
C0d3ma5t3r SK11
Gaming Experte
 
Beiträge: 3297
Themen: 216
Registriert: 01.08.2006 02:16
Wohnort: 193.232

Re: SSL-Gau: Eiskalt erwischt

Beitragvon notafake » 10.04.2014 11:19

Gutes Video Code.
"If you wanna get really paranoid, who put that bug there in the first place?"
Der Mensch: Erst ist er, dann nicht mehr.
Benutzeravatar
notafake
FORUMPSYCHO
 
Beiträge: 1893
Themen: 121
Registriert: 16.07.2006 17:48
Wohnort: Kobuk Valley

Re: SSL-Gau: Eiskalt erwischt

Beitragvon Bady^^ » 11.04.2014 23:25

OpenSSL habe ich nie wirklich getraut , das ding hat bestimmt noch hunderte anderer Lücken.
Ne Sammlung von zusammen geschusterten Bibliotheken und Codes , mit unzähligen Erweiterungen und anderen unterprogrammen , geschrieben in einer Sprache die nur Mangelhaft für diese Aufgabe geeignet ist , programmiert von leuten die ohne bezahlung arbeiten und chronisch unterbesetzt sind.
Wen wundert es da nicht , das es nicht schon viel früher zu sowas gekommen ist ?
Fährst Du rückwärts an den Baum, verkleinert sich der Kofferraum.
Benutzeravatar
Bady^^
Suse Experte
 
Beiträge: 4213
Themen: 127
Registriert: 08.07.2006 03:24
Wohnort: Cologne

Re: SSL-Gau: Eiskalt erwischt

Beitragvon notafake » 12.04.2014 13:51

Hast du denn schon mal damit gearbeitet?
Und was für alternativen würdest du vorschlagen?

Es kam ja schon früher zu sowas bei OpenSSL, und der Heartbleed bug wurde ja angeblich auch schon seit beginn von der NSA ausgenutzt. Sollte für die ja kein Problem sein einen einzigen Programmierer n paar Jahre mundtot zu machen.
Der Mensch: Erst ist er, dann nicht mehr.
Benutzeravatar
notafake
FORUMPSYCHO
 
Beiträge: 1893
Themen: 121
Registriert: 16.07.2006 17:48
Wohnort: Kobuk Valley

Re: SSL-Gau: Eiskalt erwischt

Beitragvon Bady^^ » 16.04.2014 20:39

Jeder arbeitet mit SSL .. auch auf Client seite !

Alternativen wären möglicherweise Secure Channel (SChannel) oder NSS
Fährst Du rückwärts an den Baum, verkleinert sich der Kofferraum.
Benutzeravatar
Bady^^
Suse Experte
 
Beiträge: 4213
Themen: 127
Registriert: 08.07.2006 03:24
Wohnort: Cologne

Re: SSL-Gau: Eiskalt erwischt

Beitragvon Bady^^ » 18.04.2014 15:14

Sogar Golem teilt meine Meinung Fake
http://www.golem.de/news/imho-heartblee ... 05926.html
Fährst Du rückwärts an den Baum, verkleinert sich der Kofferraum.
Benutzeravatar
Bady^^
Suse Experte
 
Beiträge: 4213
Themen: 127
Registriert: 08.07.2006 03:24
Wohnort: Cologne

Re: SSL-Gau: Eiskalt erwischt

Beitragvon notafake » 18.04.2014 16:42

Bady^^ hat geschrieben:Jeder arbeitet mit SSL .. auch auf Client seite !
Alternativen wären möglicherweise Secure Channel (SChannel) oder NSS

Ich wollte wissen ob du schon mal auf einem Server OpenSSL konfiguriert hast, dich also auch damit auskennst. Was auf der Client Seite abgeht ist ja für den hier Heartbleed Bug meins Wissens nicht relevant.

Bady^^ hat geschrieben:OpenSSL habe ich nie wirklich getraut , das ding hat bestimmt noch hunderte anderer Lücken.
Ne Sammlung von zusammen geschusterten Bibliotheken und Codes , mit unzähligen Erweiterungen und anderen unterprogrammen , geschrieben in einer Sprache die nur Mangelhaft für diese Aufgabe geeignet ist , programmiert von leuten die ohne bezahlung arbeiten und chronisch unterbesetzt sind.
Wen wundert es da nicht , das es nicht schon viel früher zu sowas gekommen ist ?


Hier sprichst oder greifst du konkret OpenSSL an

Bady^^ hat geschrieben:Sogar Golem teilt meine Meinung Fake
http://www.golem.de/news/imho-heartblee ... 05926.html


Und hier steht ganz deutlich das es um die TLS Spezifikation und DSA geht, der Artikel untermauert deine Aussage nicht im geringsten - da werden ja sogar deine zuvor genannten Alternativen wie NSS mit aufgeführt wo DSA ebenfalls noch unterstützt wird.



Im Ganzen bin ich ja gleicher Meinung, diverse Bibliotheken müssten wohl mal ausgemistet werden. OpenSSL ist da sicher mit dabei. Es deswegen direkt zum Teufel zu schicken finde ich dann doch übertrieben. Bin halt auch kein Freund von proprietären Lösungen.
Und bitte vergiss nicht dass ich auch ein wenig Ahnung auf dem Gebiet hab und mich hier und da auch schnell angegriffen fühle.
Der Mensch: Erst ist er, dann nicht mehr.
Benutzeravatar
notafake
FORUMPSYCHO
 
Beiträge: 1893
Themen: 121
Registriert: 16.07.2006 17:48
Wohnort: Kobuk Valley

Nächste


Zurück zu News

Wer ist online?

Mitglieder in diesem Forum: Majestic-12 [Bot] und 1 Gast

cron