Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Heartbleed: Keys auslesen ist…

Update

  1. Thema

Neues Thema Ansicht wechseln


  1. Update

    Autor: tadela 12.04.14 - 12:53

    ich bin jetzt grad verunsichert, wenn der server aktuell ist, besteht die Lücke dann immer noch?

    Mit aktuell meine ich alle Updates wurden installiert. Und alle Zertifikate, etc. wie empfohlen ersetzt ;-)



    1 mal bearbeitet, zuletzt am 12.04.14 12:54 durch tadela.

  2. Re: Update

    Autor: NeoCortex 12.04.14 - 13:16

    Wenn ein update installiert ist das den heartbeat exploit schließt besteht keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist (mit viel Glück) an Keys zu kommen.

    Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück irgendwann auf deiner Seite.

  3. Re: Update

    Autor: Stummi 12.04.14 - 13:35

    Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei allen großen Distributionen per Update ausgetauscht worden sein, dannach muss der Server noch neu gestartet werden und alles sollte wieder sicher sein.



    2 mal bearbeitet, zuletzt am 12.04.14 13:36 durch Stummi.

  4. Re: Update

    Autor: jayrworthington 12.04.14 - 14:15

    Stummi schrieb:
    --------------------------------------------------------------------------------
    > Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist
    > ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei
    > allen großen Distributionen per Update ausgetauscht worden sein, dannach
    > muss der Server noch neu gestartet werden und alles sollte wieder sicher
    > sein.

    Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache) updated werden, wenn die distribution evntl. sogar ein major-upgrade von openssl macht, saemmtliche linked applications...

    Und dann hast Du evntl. auch noch das Problem, das viele applikations nicht das system-openssl benutzen, sondern wie zB zimbra eine komplette umgebung incl. allen libs mitbringen. Man kommt in der Praxis nicht darum herum, jeden server zu testen, ob er nach einem update wirklich dicht ist.

    Ich bin sowas von traurig, das ich gerade diese Woche Ferien hatte, hrhrhrh....



    1 mal bearbeitet, zuletzt am 12.04.14 14:17 durch jayrworthington.

  5. Re: Update

    Autor: rtreffer 12.04.14 - 14:36

    NeoCortex schrieb:
    --------------------------------------------------------------------------------
    > Wenn ein update installiert ist das den heartbeat exploit schließt besteht
    > keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem
    > Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist
    > (mit viel Glück) an Keys zu kommen.
    >
    > Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück
    > irgendwann auf deiner Seite.

    Es werden eben genau nicht *random* Daten zurück gegeben sondern Blöcke von OpenSSL. Daher bekommt man nur crypted oder decrypted daten oder eben keys. Genau das macht den Bug so verdammt schwerwiegend. Wäre es eine random Speicheraddresse gewesen wäre es deutlich einfacher.... (OpenSSL recycled intern Speicherblöcke, hier regt sich ein openbsd dev darüber auf http://article.gmane.org/gmane.os.openbsd.misc/211963 da dadurch Schutzmechanismen umgangen werden)

  6. Re: Update

    Autor: hannob (golem.de) 12.04.14 - 15:06

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > openssl macht, saemmtliche linked applications...

    Das ist Unfug, zumindest bei allen normalen Systemen.
    I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein Update, nur einen Restart. Nur wenn man Sachen statisch linkt wäre das nicht so. Das macht man aber im Normalfall nicht, wer ein statisch gelinktes mod_ssl hat macht irgendwas komisches (und sollte wissen was er tut).

    Es gibt ein paar Ausnahmen, z.b. bringt mod_spdy sein eigenes, statisch gelinktes OpenSSL mit und auch proprietäre Programme sind oft statisch gelinkt.

  7. Re: Update

    Autor: ploedman 12.04.14 - 15:36

  8. Re: Update

    Autor: PHPGangsta 12.04.14 - 15:57

    Der Testserver von Cloudflare setzt die Version OpenSSL 1.0.1.f ein, das ist eine anfällige Version. OpenSSL 1.0.1.g ist die gefixte Version.

  9. Re: Update

    Autor: DerVorhangZuUndAlleFragenOffen 12.04.14 - 16:49

    ploedman schrieb:
    --------------------------------------------------------------------------------
    > imgs.xkcd.com

    YMMD!

    "Entwickeln Sie ein positives Verhältnis zu Daten und freuen sie sich wenn wir mehr wissen!" ~Angela Merkel (12.06.2015)

  10. Re: Update

    Autor: jayrworthington 15.04.14 - 01:35

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > jayrworthington schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > > openssl macht, saemmtliche linked applications...
    >
    > Das ist Unfug, zumindest bei allen normalen Systemen.
    > I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite
    > OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein

    Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen nuetzt es nichts, wenn die calls in der neuen version andere namen haben. Darum schrieb ich von major update. Wenn eine disti einfach von 1.0.1.h auf 1.0.1.i upgraded, wird das sicher gehen, aber von zB 0.9.8 auf 1.0.1 wird in der praxis nicht gehen (versuchen Sie mal ein RHEL5 auf nen aktuellen Stand mit PFS zu bekommen, ich musste dazu faktisch alle applikationen die ssl benutzen neu builden)...



    1 mal bearbeitet, zuletzt am 15.04.14 01:44 durch jayrworthington.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Sedus Stoll AG, Dogern
  2. Statistisches Bundesamt, Wiesbaden
  3. BWI GmbH, Rostock
  4. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-67%) 3,30€
  2. 0,49€
  3. 4,99€
  4. (-12%) 52,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. XC40 Recharge: Volvo kündigt Elektro-SUV an
    XC40 Recharge
    Volvo kündigt Elektro-SUV an

    Das erste Elektroauto unter der Marke Volvo kommt: Der schwedische Hersteller will ab 2020 ein erstes SUV mit Elektroantrieb bauen. Weitere sollen folgen.

  2. Google: Pixel 4 entsperrt auch bei geschlossenen Augen
    Google
    Pixel 4 entsperrt auch bei geschlossenen Augen

    Googles neue Pixel-4-Modelle haben keinen Fingerabdrucksensor mehr, sondern nur noch eine Gesichtsentsperrung. Diese basiert auf Infrarotwellen, was vermeintlich sicher ist - allerdings müssen die Augen des Nutzers nicht geöffnet sein, was ein Problem ist.

  3. Arbeitsspeicher: Gskill bringt DDR4-4000 mit scharfer CL15-Latenz
    Arbeitsspeicher
    Gskill bringt DDR4-4000 mit scharfer CL15-Latenz

    Hoher Takt und niedrige Latenz: Von Gskill kommt eine optimierte Version des Trident Z mit DDR4-4000 und CL15-16-16-18. Der Speicher eignet sich für schnelle CPUs wie den Core-i9-9900K oder den Ryzen 9 3900X.


  1. 16:42

  2. 16:17

  3. 15:56

  4. 15:29

  5. 14:36

  6. 13:58

  7. 12:57

  8. 12:35