1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › OpenSSL: Wichtige Fragen und…

Das kommt davon wenn man OpenBSD ignoriert

  1. Thema

Neues Thema


  1. Das kommt davon wenn man OpenBSD ignoriert

    Autor: Anonymer Nutzer 10.04.14 - 07:10

    http://blog.fefe.de/?ts=adbb8f5f

    tl;dr Dem grandiosen OpenSSL-Team war der Allokator von OpenBSD zu
    lahm (Scheiß drauf, dass er besonders sicher ist! Ist ja nur
    Verschlüsselung für 2/3 des Internets! Die muss schnell sein.). Also
    haben die ihren eigenen geschrieben, der natürlich überflüssigerweise
    auch die Allokatoren anderer Betriebssysteme umgeht.

    Das pikante nach Fefes Meinung ist gerade, dass dieser Bug eben nur
    Speicherbereiche zurückwirft, die von OpenSSL genutzt werden, da es
    ja seinen eigenen Speicher verwaltet. Warum ist das besonders pikant?
    Weil dann eben nur pikante Daten zurückkommen für die OpenSSL nun
    einmal eingesetzt wird. Ist ja auch Sinn und Zweck von OpenSSL, mit
    den besonders geheimen Dingen umzugehen, den der Prozess gerade
    vorhält. Selbst wenn man aus dem OpenSSL-Speicherbereich ausbrechen
    könnte, könnte man auch nur den restlichen Speicher des Prozesses
    lesen, um allen Speicher lesen zu können, da musst du den Kernel
    schon "rooten", aber das kann dieser Bug nicht. Er liest nur aus dem
    Speicher, die sich die OpenSSL-Routinen reserviert haben, das ist
    kein raffinierter Exploit. Aber da die Idee eine eigene
    Speicherverwaltung einzusetzen so idiotisch ist, und wohl auch so
    grottig umgesetzt wurde und OpenSSL nunmal zu 99% mit Daten umgeht,
    die niemanden etwas angehen ausser Client und Server, ist das so
    fatal.

    Also das root-Passwort der Maschine wirst du damit nicht kriegen,
    aber wenn der Admin gerade über ein Webinterface diese Maschine
    verwaltet, dann doch wieder. Oder falls er root-Passwörter für andere
    Maschinen per OpenSSL über diese Maschine verschickt.

    Das ist wie Angeln in einer Fischfarm. Jeder Wurf mehrere Fänge.

  2. Re: Das kommt davon wenn man OpenBSD ignoriert

    Autor: Captain_Koelsch 10.04.14 - 22:34

    Diesem Fefe sollte man für das Layout seines Blogs eine reinhauen.
    Ich hasse Times New Roman und ich hasse viel zu lange Zeilen.

  3. Re: Das kommt davon wenn man OpenBSD ignoriert

    Autor: der_wahre_hannes 10.04.14 - 23:28

    Sei lieber froh, dass er kein Comic Sans verwendet.

  4. Re: Das kommt davon wenn man OpenBSD ignoriert

    Autor: GodsBoss 19.04.14 - 22:12

    > Diesem Fefe sollte man für das Layout seines Blogs eine reinhauen.
    > Ich hasse Times New Roman und ich hasse viel zu lange Zeilen.

    Fefe verwendet so gut wie kein CSS. Wenn du Times New Roman hasst, warum ist es dann die Standard-Schrift in deinem Browser?

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  5. Re: Das kommt davon wenn man OpenBSD ignoriert

    Autor: mnementh 22.04.14 - 14:43

    Captain_Koelsch schrieb:
    --------------------------------------------------------------------------------
    > Diesem Fefe sollte man für das Layout seines Blogs eine reinhauen.
    > Ich hasse Times New Roman und ich hasse viel zu lange Zeilen.
    Es gibt verschiedene CSS-Layouts für Fefes Blog und ist die erste Antwort in seiner FAQ:
    http://blog.fefe.de/faq.html

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Service Desk Manager und IT & OT -Device Administrator (m/w/d) Kennziffer 23/37 | Vollzeit
    SONAX GmbH, Neuburg an der Donau
  2. Fachinformatiker Systemintegration (m/w/d)
    Rottländer Business-IT GmbH, Siegburg
  3. DevOps - Engineer BMC Helix ITSM - Remedy - (m/w/div)
    Deutsche Rentenversicherung Bund, Berlin
  4. Application Manager:in (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 79,99€ (Vergleichspreis 106,89€)
  2. 499€ (Vergleichspreis 715,14€)
  3. u. a. Fractal Design Ion+ 2 Platinum 660 W für 99,90€ + 6,99€ Versand statt 161,05€ im...


Haben wir etwas übersehen?

E-Mail an news@golem.de