Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Heartbleed: Keys auslesen ist…

Update

  1. Thema

Neues Thema Ansicht wechseln


  1. Update

    Autor: tadela 12.04.14 - 12:53

    ich bin jetzt grad verunsichert, wenn der server aktuell ist, besteht die Lücke dann immer noch?

    Mit aktuell meine ich alle Updates wurden installiert. Und alle Zertifikate, etc. wie empfohlen ersetzt ;-)



    1 mal bearbeitet, zuletzt am 12.04.14 12:54 durch tadela.

  2. Re: Update

    Autor: NeoCortex 12.04.14 - 13:16

    Wenn ein update installiert ist das den heartbeat exploit schließt besteht keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist (mit viel Glück) an Keys zu kommen.

    Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück irgendwann auf deiner Seite.

  3. Re: Update

    Autor: Stummi 12.04.14 - 13:35

    Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei allen großen Distributionen per Update ausgetauscht worden sein, dannach muss der Server noch neu gestartet werden und alles sollte wieder sicher sein.



    2 mal bearbeitet, zuletzt am 12.04.14 13:36 durch Stummi.

  4. Re: Update

    Autor: jayrworthington 12.04.14 - 14:15

    Stummi schrieb:
    --------------------------------------------------------------------------------
    > Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist
    > ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei
    > allen großen Distributionen per Update ausgetauscht worden sein, dannach
    > muss der Server noch neu gestartet werden und alles sollte wieder sicher
    > sein.

    Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache) updated werden, wenn die distribution evntl. sogar ein major-upgrade von openssl macht, saemmtliche linked applications...

    Und dann hast Du evntl. auch noch das Problem, das viele applikations nicht das system-openssl benutzen, sondern wie zB zimbra eine komplette umgebung incl. allen libs mitbringen. Man kommt in der Praxis nicht darum herum, jeden server zu testen, ob er nach einem update wirklich dicht ist.

    Ich bin sowas von traurig, das ich gerade diese Woche Ferien hatte, hrhrhrh....



    1 mal bearbeitet, zuletzt am 12.04.14 14:17 durch jayrworthington.

  5. Re: Update

    Autor: rtreffer 12.04.14 - 14:36

    NeoCortex schrieb:
    --------------------------------------------------------------------------------
    > Wenn ein update installiert ist das den heartbeat exploit schließt besteht
    > keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem
    > Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist
    > (mit viel Glück) an Keys zu kommen.
    >
    > Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück
    > irgendwann auf deiner Seite.

    Es werden eben genau nicht *random* Daten zurück gegeben sondern Blöcke von OpenSSL. Daher bekommt man nur crypted oder decrypted daten oder eben keys. Genau das macht den Bug so verdammt schwerwiegend. Wäre es eine random Speicheraddresse gewesen wäre es deutlich einfacher.... (OpenSSL recycled intern Speicherblöcke, hier regt sich ein openbsd dev darüber auf http://article.gmane.org/gmane.os.openbsd.misc/211963 da dadurch Schutzmechanismen umgangen werden)

  6. Re: Update

    Autor: hannob (golem.de) 12.04.14 - 15:06

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > openssl macht, saemmtliche linked applications...

    Das ist Unfug, zumindest bei allen normalen Systemen.
    I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein Update, nur einen Restart. Nur wenn man Sachen statisch linkt wäre das nicht so. Das macht man aber im Normalfall nicht, wer ein statisch gelinktes mod_ssl hat macht irgendwas komisches (und sollte wissen was er tut).

    Es gibt ein paar Ausnahmen, z.b. bringt mod_spdy sein eigenes, statisch gelinktes OpenSSL mit und auch proprietäre Programme sind oft statisch gelinkt.

  7. Re: Update

    Autor: ploedman 12.04.14 - 15:36

  8. Re: Update

    Autor: PHPGangsta 12.04.14 - 15:57

    Der Testserver von Cloudflare setzt die Version OpenSSL 1.0.1.f ein, das ist eine anfällige Version. OpenSSL 1.0.1.g ist die gefixte Version.

  9. Re: Update

    Autor: DerVorhangZuUndAlleFragenOffen 12.04.14 - 16:49

    ploedman schrieb:
    --------------------------------------------------------------------------------
    > imgs.xkcd.com

    YMMD!

    "Entwickeln Sie ein positives Verhältnis zu Daten und freuen sie sich wenn wir mehr wissen!" ~Angela Merkel (12.06.2015)

  10. Re: Update

    Autor: jayrworthington 15.04.14 - 01:35

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > jayrworthington schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > > openssl macht, saemmtliche linked applications...
    >
    > Das ist Unfug, zumindest bei allen normalen Systemen.
    > I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite
    > OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein

    Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen nuetzt es nichts, wenn die calls in der neuen version andere namen haben. Darum schrieb ich von major update. Wenn eine disti einfach von 1.0.1.h auf 1.0.1.i upgraded, wird das sicher gehen, aber von zB 0.9.8 auf 1.0.1 wird in der praxis nicht gehen (versuchen Sie mal ein RHEL5 auf nen aktuellen Stand mit PFS zu bekommen, ich musste dazu faktisch alle applikationen die ssl benutzen neu builden)...



    1 mal bearbeitet, zuletzt am 15.04.14 01:44 durch jayrworthington.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Modis GmbH, Berlin
  2. DIgSILENT GmbH, Gomaringen
  3. Niels-Stensen-Kliniken - Marienhospital Osnabrück GmbH, Osnabrück
  4. Vorwerk Services GmbH, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Fire HD 8 für 69,99€, Fire 7 für 44,99€, Fire HD 10 für 104,99€)
  2. (aktuell u. a. X Rocker Shadow 2.0 Floor Rocker Gaming Stuhl in verschiedenen Farben je 64,90€)
  3. 337,00€
  4. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. Fredrick Brennan: "Ich bereue es, 8chan gegründet zu haben"
    Fredrick Brennan
    "Ich bereue es, 8chan gegründet zu haben"

    Wo sich Attentäter austauschen: Auf dem Imageboard 8chan wächst Hass und Nazi-Ideologie. Er habe nie gedacht, dass Leute sich so radikalisieren könnten, sagt der Gründer.

  2. BSI-Präsident: "Emotet ist der König der Schadsoftware"
    BSI-Präsident
    "Emotet ist der König der Schadsoftware"

    Das BSI sieht eine weiterhin steigende Bedrohung durch Gefahren im Internet, vor allem setzt demnach die Schadsoftware Emotet der Wirtschaft zu. BSI-Präsident und Bundesinneminister betonen ihre Hilfsbereitschaft in Sachen Cybersicherheit, appellieren aber auch an die Verantwortung von Verbrauchern und Unternehmen.

  3. Flip 2: Samsungs digitales Flipchart wird größer und kann Office 365
    Flip 2
    Samsungs digitales Flipchart wird größer und kann Office 365

    Das Samsung Flip 2 ist im Kern wieder ein Flipchart, an welchem Teams ihre Ideen zu digitalem Papier bringen können. Ein Unterschied: Es wird auch eine 65-Zoll-Version geben. Außerdem kann es in Verbindung mit Office 365 genutzt werden.


  1. 07:00

  2. 19:25

  3. 17:18

  4. 17:01

  5. 16:51

  6. 15:27

  7. 14:37

  8. 14:07