Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Heartbleed: Keys auslesen ist…

Update

  1. Thema

Neues Thema Ansicht wechseln


  1. Update

    Autor: tadela 12.04.14 - 12:53

    ich bin jetzt grad verunsichert, wenn der server aktuell ist, besteht die Lücke dann immer noch?

    Mit aktuell meine ich alle Updates wurden installiert. Und alle Zertifikate, etc. wie empfohlen ersetzt ;-)



    1 mal bearbeitet, zuletzt am 12.04.14 12:54 durch tadela.

  2. Re: Update

    Autor: NeoCortex 12.04.14 - 13:16

    Wenn ein update installiert ist das den heartbeat exploit schließt besteht keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist (mit viel Glück) an Keys zu kommen.

    Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück irgendwann auf deiner Seite.

  3. Re: Update

    Autor: Stummi 12.04.14 - 13:35

    Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei allen großen Distributionen per Update ausgetauscht worden sein, dannach muss der Server noch neu gestartet werden und alles sollte wieder sicher sein.



    2 mal bearbeitet, zuletzt am 12.04.14 13:36 durch Stummi.

  4. Re: Update

    Autor: jayrworthington 12.04.14 - 14:15

    Stummi schrieb:
    --------------------------------------------------------------------------------
    > Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist
    > ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei
    > allen großen Distributionen per Update ausgetauscht worden sein, dannach
    > muss der Server noch neu gestartet werden und alles sollte wieder sicher
    > sein.

    Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache) updated werden, wenn die distribution evntl. sogar ein major-upgrade von openssl macht, saemmtliche linked applications...

    Und dann hast Du evntl. auch noch das Problem, das viele applikations nicht das system-openssl benutzen, sondern wie zB zimbra eine komplette umgebung incl. allen libs mitbringen. Man kommt in der Praxis nicht darum herum, jeden server zu testen, ob er nach einem update wirklich dicht ist.

    Ich bin sowas von traurig, das ich gerade diese Woche Ferien hatte, hrhrhrh....



    1 mal bearbeitet, zuletzt am 12.04.14 14:17 durch jayrworthington.

  5. Re: Update

    Autor: rtreffer 12.04.14 - 14:36

    NeoCortex schrieb:
    --------------------------------------------------------------------------------
    > Wenn ein update installiert ist das den heartbeat exploit schließt besteht
    > keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem
    > Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist
    > (mit viel Glück) an Keys zu kommen.
    >
    > Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück
    > irgendwann auf deiner Seite.

    Es werden eben genau nicht *random* Daten zurück gegeben sondern Blöcke von OpenSSL. Daher bekommt man nur crypted oder decrypted daten oder eben keys. Genau das macht den Bug so verdammt schwerwiegend. Wäre es eine random Speicheraddresse gewesen wäre es deutlich einfacher.... (OpenSSL recycled intern Speicherblöcke, hier regt sich ein openbsd dev darüber auf http://article.gmane.org/gmane.os.openbsd.misc/211963 da dadurch Schutzmechanismen umgangen werden)

  6. Re: Update

    Autor: hannob (golem.de) 12.04.14 - 15:06

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > openssl macht, saemmtliche linked applications...

    Das ist Unfug, zumindest bei allen normalen Systemen.
    I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein Update, nur einen Restart. Nur wenn man Sachen statisch linkt wäre das nicht so. Das macht man aber im Normalfall nicht, wer ein statisch gelinktes mod_ssl hat macht irgendwas komisches (und sollte wissen was er tut).

    Es gibt ein paar Ausnahmen, z.b. bringt mod_spdy sein eigenes, statisch gelinktes OpenSSL mit und auch proprietäre Programme sind oft statisch gelinkt.

  7. Re: Update

    Autor: ploedman 12.04.14 - 15:36

  8. Re: Update

    Autor: PHPGangsta 12.04.14 - 15:57

    Der Testserver von Cloudflare setzt die Version OpenSSL 1.0.1.f ein, das ist eine anfällige Version. OpenSSL 1.0.1.g ist die gefixte Version.

  9. Re: Update

    Autor: DerVorhangZuUndAlleFragenOffen 12.04.14 - 16:49

    ploedman schrieb:
    --------------------------------------------------------------------------------
    > imgs.xkcd.com

    YMMD!

    "Entwickeln Sie ein positives Verhältnis zu Daten und freuen sie sich wenn wir mehr wissen!" ~Angela Merkel (12.06.2015)

  10. Re: Update

    Autor: jayrworthington 15.04.14 - 01:35

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > jayrworthington schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > > openssl macht, saemmtliche linked applications...
    >
    > Das ist Unfug, zumindest bei allen normalen Systemen.
    > I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite
    > OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein

    Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen nuetzt es nichts, wenn die calls in der neuen version andere namen haben. Darum schrieb ich von major update. Wenn eine disti einfach von 1.0.1.h auf 1.0.1.i upgraded, wird das sicher gehen, aber von zB 0.9.8 auf 1.0.1 wird in der praxis nicht gehen (versuchen Sie mal ein RHEL5 auf nen aktuellen Stand mit PFS zu bekommen, ich musste dazu faktisch alle applikationen die ssl benutzen neu builden)...



    1 mal bearbeitet, zuletzt am 15.04.14 01:44 durch jayrworthington.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. LOTTO Hessen GmbH, Wiesbaden
  2. Amprion GmbH, Pulheim-Brauweiler
  3. Landkreis Märkisch-Oderland, Seelow
  4. über Kienbaum Consultants International GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. 4,99€
  3. 17,99€
  4. (-12%) 52,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

  1. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.

  2. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.

  3. Office und Windows: Microsoft klagt gegen Software-Billiganbieter Lizengo
    Office und Windows
    Microsoft klagt gegen Software-Billiganbieter Lizengo

    Auffallend günstige Keys für Office 365 und Windows 10 bei Anbietern wie Edeka sind möglicherweise nicht legal. Nun geht Microsoft gegen Lizengo vor, einen der größten Anbieter solcher Software.


  1. 14:43

  2. 13:45

  3. 12:49

  4. 11:35

  5. 18:18

  6. 18:00

  7. 17:26

  8. 17:07