1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › OpenSSL-Schlüssel in Debian sind…

Wie es zu dem Bug kam

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie es zu dem Bug kam

    Autor: Codeman 14.05.08 - 01:50

    Falls es jemanden interessiert - hier ist der Patch, der den Bug eingeführt hat.

    http://svn.debian.org/viewsvn/pkg-openssl/openssl/trunk/rand/md_rand.c?rev=141&view=diff&r1=141&r2=140&p1=openssl/trunk/rand/md_rand.c&p2=/openssl/trunk/rand/md_rand.c

    Es wurde die Benutzung von unitialisiertem Speicher auskommentiert, der als Seed für den Zufallsgenerator genommen wurde. Das benutzen von uninitialisietem Speicher führte wohl zu Warnings im Debian Build System.

    Derjenige, der den Patch gebaut hat hatte sich aber vorher in der openssl Mailingliste erkundigt, ob das so OK ist und niemand hat Einwand erhoben:

    http://marc.info/?l=openssl-dev&m=114651085826293&w=2

    Der Fix war dann dementsprechend einfach:

    http://svn.debian.org/viewsvn/pkg-openssl/openssl/trunk/crypto/rand/md_rand.c?rev=300&view=diff&r1=300&r2=299&p1=openssl/trunk/crypto/rand/md_rand.c&p2=/openssl/trunk/crypto/rand/md_rand.c


    In diesem Fall hat die Community nicht funktioniert und man sieht mal, wie schnell man ein Cryptosystem kompromitieren kann (eine Zeile auskommentieren), ohne das es jemand merkt.

  2. Re: Wie es zu dem Bug kam

    Autor: Levi:Shadow 14.05.08 - 08:18

    interessante Geschichte.... erinnert mich an den Spruch, wenn man keine Ahnung hat, einfach mal fresse halten^^.... (halt nur aus progger sicht^^

    mh... wobei.... der jenige der auf die idee kam, uninitialisiserten Speicher als seed zu nutzen (was garnicht mal sone dumme idee ist ;) ) hätte dies auch ganz klar reinkommentiernen können..... was er da tut... und das scheint ja nicht in den codesnipes vorhanden zu sein^^.... und was lernen wir aus der geschichte.... immer schön euren Code kommentieren.....

    Codeman schrieb:
    -------------------------------------------------------
    > Falls es jemanden interessiert - hier ist der
    > Patch, der den Bug eingeführt hat.
    >
    > svn.debian.org
    >
    > Es wurde die Benutzung von unitialisiertem
    > Speicher auskommentiert, der als Seed für den
    > Zufallsgenerator genommen wurde. Das benutzen von
    > uninitialisietem Speicher führte wohl zu Warnings
    > im Debian Build System.
    >
    > Derjenige, der den Patch gebaut hat hatte sich
    > aber vorher in der openssl Mailingliste erkundigt,
    > ob das so OK ist und niemand hat Einwand erhoben:
    >
    > marc.info
    >
    > Der Fix war dann dementsprechend einfach:
    >
    > svn.debian.org
    >
    > In diesem Fall hat die Community nicht
    > funktioniert und man sieht mal, wie schnell man
    > ein Cryptosystem kompromitieren kann (eine Zeile
    > auskommentieren), ohne das es jemand merkt.


  3. Re: Wie es zu dem Bug kam

    Autor: Sebastian Starosielec 14.05.08 - 10:14

    > In diesem Fall hat die Community nicht
    > funktioniert und man sieht mal, wie schnell man
    > ein Cryptosystem kompromitieren kann (eine Zeile
    > auskommentieren), ohne das es jemand merkt.

    Im Prinzip hat die Community ja schon funktioniert, als daß der Fehler gefunden und behoben wurde.

    Das eigentliche Problem war ja eher, daß der Compiler beim Benutzen von uninitialisierten Daten Warnmeldungen ausgespuckt hat (was ja auch sinnvoll ist).
    Der Erstautor hätte einfach für diesen Abschnitt diesen Warnungstyp abschalten sollen.




  4. Re: Wie es zu dem Bug kam

    Autor: Codeman 14.05.08 - 10:20

    Sebastian Starosielec schrieb:
    -------------------------------------------------------
    > Im Prinzip hat die Community ja schon
    > funktioniert, als daß der Fehler gefunden und
    > behoben wurde.

    Nach zwei Jahren!

  5. Re: Wie es zu dem Bug kam

    Autor: Tantalus 14.05.08 - 10:30

    Codeman schrieb:
    -------------------------------------------------------
    > Sebastian Starosielec schrieb:
    > --------------------------------------------------
    > -----
    > > Im Prinzip hat die Community ja schon
    >
    > funktioniert, als daß der Fehler gefunden und
    >
    > behoben wurde.
    >
    > Nach zwei Jahren!

    Naja, mal zum Vergleich ein Auszug aus einer anderen Meldung von eben:

    >Die beiden Sicherheitslecks finden sich in den Word-Versionen von 2000
    >bis 2007, in den Mac-Varianten Word 2004 sowie 2008 und im Word Viewer
    >2003

    Klar ist es nicht so prickelnd, dass ein Fehler erst nach zwei Jahren gefunden wurde, aber die wirklich heikle Zeitspanne ist doch die zwischen der Entdeckung und der veröffentlichung des Fixes.

    Gruß
    Tantalus

  6. Re: Wie es zu dem Bug kam

    Autor: Codeman 14.05.08 - 11:00

    Tantalus schrieb:
    > Klar ist es nicht so prickelnd, dass ein Fehler
    > erst nach zwei Jahren gefunden wurde, aber die
    > wirklich heikle Zeitspanne ist doch die zwischen
    > der Entdeckung und der veröffentlichung des
    > Fixes.

    Ich bin seit 12 Jahren Entwickler und UNIX-Benutzer. Ich gehöre nicht zu der Fraktion, die ein Betriebssystem aus irgendwelchen religiösen Gründen supertoll oder total beschissen findet. In meinem Beruf kommt man ohne einen gewissen Pragmatismus nicht besonders weit.

    Was hier passiert ist ist aber ganz grosser Mist und wird noch viel Probleme bereiten. Wenn ich jetzt z.B. für eine Bank entwickeln würde würde ich nie wieder Debian benutzen, sondern mich eher bei den BSDs umschauen.

    Das kann man nicht mit: "Bei MS dauert das länger" schön reden.

  7. Re: Wie es zu dem Bug kam

    Autor: Kokospalme 14.05.08 - 11:18

    Codeman schrieb:
    -------------------------------------------------------
    > Was hier passiert ist ist aber ganz grosser Mist
    > und wird noch viel Probleme bereiten. Wenn ich
    > jetzt z.B. für eine Bank entwickeln würde würde
    > ich nie wieder Debian benutzen, sondern mich eher
    > bei den BSDs umschauen.

    Dann solltest du dir ganz pragmatisch darüber im klaren sein, dass jedes System Fehler aufweisen kann und das auch mit an Sicherheit grenzender Wahrscheinlichkeit tut.

    In den BSDs ist gerade ein 25 Jahre alter Fehler behoben worden, der zum Glück nicht sicherheitsrelevant ist.

    Trotz allem gehört Debian zu den Distributionen, die relativ wenige Fehler enthalten. Dieser Fehler ist sehr ärgerlich, weil man sämtliche Keys neu generieren und verteilen muss, trotzdem ist das kein Grund die Distribution zu wechseln. Wenn eine Sicherheitslücke für dich ein Grund dazu ist, dann hast du keine Ahnung, sondern lässt dich von Emotionen leiten. Das ist dein gutes Recht, aber alles andere als professionell.

  8. Re: Wie es zu dem Bug kam

    Autor: Tantalus 14.05.08 - 11:40

    Codeman schrieb:
    -------------------------------------------------------

    > Ich bin seit 12 Jahren Entwickler und
    > UNIX-Benutzer. Ich gehöre nicht zu der Fraktion,
    > die ein Betriebssystem aus irgendwelchen
    > religiösen Gründen supertoll oder total beschissen
    > findet. In meinem Beruf kommt man ohne einen
    > gewissen Pragmatismus nicht besonders weit.

    Den sollte man, egal in welchem bereich, im beruflichen Umfeld immer haben.

    > Was hier passiert ist ist aber ganz grosser Mist
    > und wird noch viel Probleme bereiten.

    Das bestreitet niemand. Ist bei aufgefundenen Sicherheitslücken aber oft so. Gehört quasi zum "Berufsrisiko".

    > Wenn ich
    > jetzt z.B. für eine Bank entwickeln würde würde
    > ich nie wieder Debian benutzen, sondern mich eher
    > bei den BSDs umschauen.

    ... und bei der nächsten bekannt gewordenen Sicherheitslücke wieder das System wechseln, und dann wieder...? Wenn Du ausschließlich "garantiert absolut fehlerfreie Software" einsetzen willst, musst Du Dich auf "Hello World"-Progrämmchen beschränken.

    > Das kann man nicht mit: "Bei MS dauert das länger"
    > schön reden.

    Hier wollte ich nichts "schönreden", sondern einem potentiellen Trollversuch den Wind aus den Segeln nehmen.

    Gruß
    Tantalus

  9. Re: Wie es zu dem Bug kam - Nachtrag

    Autor: Tantalus 14.05.08 - 11:57

    Nachtrag:

    Wenn Du für eine Bank arbeiten würdest, würden dort mit Sicherheit die Schlüssel- und Zertifikatsdateien in regelmäßigen Abständen ausgetauscht. Dann stündest Du nur vor der Frage, die neuen Schlüssel sofort zu verteilen, oder den nächsten geplanten Wechsel abzuwarten.

    Gruß
    Tantalus

  10. Re: Wie es zu dem Bug kam

    Autor: Codeman 14.05.08 - 15:39

    Kokospalme schrieb:
    -------------------------------------------------------
    > Wenn eine Sicherheitslücke für dich ein Grund dazu ist, dann
    > hast du keine Ahnung, sondern lässt dich von
    > Emotionen leiten. Das ist dein gutes Recht, aber
    > alles andere als professionell.

    Es geht mir nicht um 'Emotionen'. Durch diesen Vorfall wurde deutlich gemacht, das es bei Debian möglich ist, dass ein Maintainer durch einen Fehler oder mutwillig die Sicherheit des ganzen Systems kompromittiert. Es scheint also keine Kontrollinstanz bei solch kritischen Paketen zu geben. Und es wäre unprofessionell, sowas als Einzelfall abzutun.

  11. Re: Wie es zu dem Bug kam

    Autor: horst_ 16.05.08 - 18:45

    Codeman schrieb:
    -------------------------------------------------------
    > Kokospalme schrieb:
    > --------------------------------------------------
    > -----
    > > Wenn eine Sicherheitslücke für dich ein Grund
    > dazu ist, dann
    > hast du keine Ahnung, sondern
    > lässt dich von
    > Emotionen leiten. Das ist dein
    > gutes Recht, aber
    > alles andere als
    > professionell.
    >
    > Es geht mir nicht um 'Emotionen'. Durch diesen
    > Vorfall wurde deutlich gemacht, das es bei Debian
    > möglich ist, dass ein Maintainer durch einen
    > Fehler oder mutwillig die Sicherheit des ganzen
    > Systems kompromittiert. Es scheint also keine
    > Kontrollinstanz bei solch kritischen Paketen zu
    > geben. Und es wäre unprofessionell, sowas als
    > Einzelfall abzutun.
    >

    Dass Maintainer an Code rumpatchen ist nichts ungewöhnliches, das gibts bei fast allen Distributionen und auch bei den BSDs. Wenn einem das nicht passt muss man LFS nutzen..
    Da, wie du weißt, der Maintainer sogar auf der OpenSSL-Mailingliste nachgefragt hat, ob es problematisch ist, dieses Stück Code auszukommentieren (und ihm dort gesagt wurde, dass es das nicht sei), kann man ihm und dem Debian-Projekt eigentlich keinen großen Vorwurf machen.

    Es wäre natürlich trotzdem vernünftiger gewesen, den Code nicht auszukommentieren, sondern ein #ifndef DEBUG davorzusetzen..
    Ich schätze mal, dass der entsprechende Maintainer (und auch alle anderen Maintainer sämtlicher Distributionen) aus diesem GAU gelernt hat und sich sowas nicht wiederholt.

    - horst, der auch weiterhin debian nutzt

  12. Re: Wie es zu dem Bug kam

    Autor: robinx 16.05.08 - 19:00


    >
    >
    > Dass Maintainer an Code rumpatchen ist nichts
    > ungewöhnliches, das gibts bei fast allen
    > Distributionen und auch bei den BSDs. Wenn einem
    > das nicht passt muss man LFS nutzen..
    > Da, wie du weißt, der Maintainer sogar auf der
    > OpenSSL-Mailingliste nachgefragt hat, ob es
    > problematisch ist, dieses Stück Code
    > auszukommentieren (und ihm dort gesagt wurde, dass
    > es das nicht sei), kann man ihm und dem
    > Debian-Projekt eigentlich keinen großen Vorwurf
    > machen.
    >
    klar kann man dem einen vorwurf machen, wenn man sich den text durchließt
    http://marc.info/?l=openssl-dev&m=114651085826293&w=2
    dann stellt man eigentlich fest das er davon redet dass es beim debuggen von software viele warnmeldungen gibt und eigentlich wurde ihm nur in dem zusammenhang gesagt dass es ok ist
    "Not much. If it helps with debugging, I'm in favor of removing them.
    (However the last time I checked, valgrind reported thousands of bogus
    error messages. Has that situation gotten better?)"

    Er hat ganz privat nachgefragt und es war nie die rede davon dass es ein offizielles paket sein soll. Und wenn er die 2 zeilen nur auf seinem system zum debuggen von software auskommentiert hätte währe nichts passiert

  13. Re: Wie es zu dem Bug kam

    Autor: john.doe 16.05.08 - 19:10

    horst_ schrieb:
    -------------------------------------------------------
    > Da, wie du weißt, der Maintainer sogar auf der
    > OpenSSL-Mailingliste nachgefragt hat, ob es
    > problematisch ist, dieses Stück Code
    > auszukommentieren (und ihm dort gesagt wurde, dass
    > es das nicht sei), kann man ihm und dem
    > Debian-Projekt eigentlich keinen großen Vorwurf
    > machen.

    Dieser Punkt wird doch gerade ausführlich in diversen Blogs diskutiert: Wenn man die Antworten der OpenSSL-Leute genau liest, muss man realisieren, dass diese nur bzgl. des Debuggings ihr OK gegeben haben. Eine simple User-Anfrage (von einer solchen musste das OpenSSL-Team ausgehen, denn der Debian-Maintainer hatte sich nicht als solcher zu erkennen gegeben) ersetzt nicht einen offiziell eingereichten Patch, der entsprechend begutachtet würde.

    Ich will die Schuld nicht ganz vom OpenSSL-Team abweisen. Immerhin wissen diese um die Brisanz und Wichtigkeit ihrer Software und sollten daher (IMHO) lieber einmal mehr als weniger wichtige Hinweise zur Sicherheit in derartigen Threads anhängen. Allgemein können OpenSSL und anderen Upstreamer jedoch nicht verantwortlich gemacht werden, wenn Distributoren eigene Patches schnell und relativ unreflektiert durchwinken.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Manufacturing Digitalization Expert (m/f/d)
    Heraeus Quarzglas GmbH & Co. KG, Kleinostheim
  2. Sachbearbeiter*in (m/w/d) Dokumentenmanagenement
    Paul-Ehrlich-Institut, Langen
  3. Fachinformatiker (m/w/d)
    ZTG Zentrum für Telematik und Telemedizin GmbH, Hagen
  4. IT-Projektmanager mit Schwerpunkt Anwendungsberatung / Stellv. Teamleiter IT (m/w/d)
    Kreiswerke Main-Kinzig GmbH, Gelnhausen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 18,49€
  2. 9,99€
  3. (u. a. The Walking Dead: The Telltale Definitive Series für 23,99€, Project Wingman für 18...
  4. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dune: Der Wüstenplanet so schön wie nie zuvor
Dune
Der Wüstenplanet so schön wie nie zuvor

Bombastisch, fantastisch besetzt und einfach wunderschön: Die Dune-Neuverfilmung von Denis Villeneuve ist ein Traum - aber leider nur ein halber.
Eine Rezension von Peter Osteried

  1. Science-Fiction-Filme aus den 80ern Damals gefloppt, heute gefeiert
  2. Film zu Stargate: Origins Da hilft nur Amnesie
  3. Science Fiction Raumpatrouille Orion wird neu aufgelegt

Deathloop im Test: Und ewig grüßt die Maschinenpistole
Deathloop im Test
Und ewig grüßt die Maschinenpistole

Zeitreise plus Shooter: Das Microsoft-Entwicklerstudio Arkane liefert mit Deathloop ein Spitzenspiel für PS5 und Windows-PC.
Von Peter Steinlechner

  1. PC-Version Entwickler untersuchen massive Ruckler bei Deathloop
  2. Deathloop angespielt "Brich den Loop - sonst bringe ich dich immer brutaler um!"
  3. Deathloop-Vorschau Todesschleife auf der James-Bond-Gedächtnisinsel

Allianz-CTO: Die Trennung von Arbeit und Freizeit ist antiquiert
Allianz-CTO
"Die Trennung von Arbeit und Freizeit ist antiquiert"

CTOs im Interview Profi-Trompeter war sein Traum - stattdessen wurde Markus Löffler Sysadmin, Physiker, Direktor von McKinsey und der erste CTO der Allianz Versicherung. Wie schafft man als Quereinsteiger so eine Karriere in der IT?
Ein Interview von Maja Hoock

  1. Jaroslaw Kroczek von Boldare "Gute Bezahlung reicht heute nicht mehr aus"