-
Das kommt davon wenn man OpenBSD ignoriert
Autor: Anonymer Nutzer 10.04.14 - 07:10
http://blog.fefe.de/?ts=adbb8f5f
tl;dr Dem grandiosen OpenSSL-Team war der Allokator von OpenBSD zu
lahm (Scheiß drauf, dass er besonders sicher ist! Ist ja nur
Verschlüsselung für 2/3 des Internets! Die muss schnell sein.). Also
haben die ihren eigenen geschrieben, der natürlich überflüssigerweise
auch die Allokatoren anderer Betriebssysteme umgeht.
Das pikante nach Fefes Meinung ist gerade, dass dieser Bug eben nur
Speicherbereiche zurückwirft, die von OpenSSL genutzt werden, da es
ja seinen eigenen Speicher verwaltet. Warum ist das besonders pikant?
Weil dann eben nur pikante Daten zurückkommen für die OpenSSL nun
einmal eingesetzt wird. Ist ja auch Sinn und Zweck von OpenSSL, mit
den besonders geheimen Dingen umzugehen, den der Prozess gerade
vorhält. Selbst wenn man aus dem OpenSSL-Speicherbereich ausbrechen
könnte, könnte man auch nur den restlichen Speicher des Prozesses
lesen, um allen Speicher lesen zu können, da musst du den Kernel
schon "rooten", aber das kann dieser Bug nicht. Er liest nur aus dem
Speicher, die sich die OpenSSL-Routinen reserviert haben, das ist
kein raffinierter Exploit. Aber da die Idee eine eigene
Speicherverwaltung einzusetzen so idiotisch ist, und wohl auch so
grottig umgesetzt wurde und OpenSSL nunmal zu 99% mit Daten umgeht,
die niemanden etwas angehen ausser Client und Server, ist das so
fatal.
Also das root-Passwort der Maschine wirst du damit nicht kriegen,
aber wenn der Admin gerade über ein Webinterface diese Maschine
verwaltet, dann doch wieder. Oder falls er root-Passwörter für andere
Maschinen per OpenSSL über diese Maschine verschickt.
Das ist wie Angeln in einer Fischfarm. Jeder Wurf mehrere Fänge. -
Re: Das kommt davon wenn man OpenBSD ignoriert
Autor: Captain_Koelsch 10.04.14 - 22:34
Diesem Fefe sollte man für das Layout seines Blogs eine reinhauen.
Ich hasse Times New Roman und ich hasse viel zu lange Zeilen. -
Re: Das kommt davon wenn man OpenBSD ignoriert
Autor: der_wahre_hannes 10.04.14 - 23:28
Sei lieber froh, dass er kein Comic Sans verwendet.
-
Re: Das kommt davon wenn man OpenBSD ignoriert
Autor: GodsBoss 19.04.14 - 22:12
> Diesem Fefe sollte man für das Layout seines Blogs eine reinhauen.
> Ich hasse Times New Roman und ich hasse viel zu lange Zeilen.
Fefe verwendet so gut wie kein CSS. Wenn du Times New Roman hasst, warum ist es dann die Standard-Schrift in deinem Browser?
Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. -
Re: Das kommt davon wenn man OpenBSD ignoriert
Autor: mnementh 22.04.14 - 14:43
Captain_Koelsch schrieb:
--------------------------------------------------------------------------------
> Diesem Fefe sollte man für das Layout seines Blogs eine reinhauen.
> Ich hasse Times New Roman und ich hasse viel zu lange Zeilen.
Es gibt verschiedene CSS-Layouts für Fefes Blog und ist die erste Antwort in seiner FAQ:
http://blog.fefe.de/faq.html



