Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Heartbleed: Keys auslesen ist…

Update

  1. Thema

Neues Thema Ansicht wechseln


  1. Update

    Autor: tadela 12.04.14 - 12:53

    ich bin jetzt grad verunsichert, wenn der server aktuell ist, besteht die Lücke dann immer noch?

    Mit aktuell meine ich alle Updates wurden installiert. Und alle Zertifikate, etc. wie empfohlen ersetzt ;-)



    1 mal bearbeitet, zuletzt am 12.04.14 12:54 durch tadela.

  2. Re: Update

    Autor: NeoCortex 12.04.14 - 13:16

    Wenn ein update installiert ist das den heartbeat exploit schließt besteht keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist (mit viel Glück) an Keys zu kommen.

    Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück irgendwann auf deiner Seite.

  3. Re: Update

    Autor: rtreffer 12.04.14 - 14:36

    NeoCortex schrieb:
    --------------------------------------------------------------------------------
    > Wenn ein update installiert ist das den heartbeat exploit schließt besteht
    > keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem
    > Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist
    > (mit viel Glück) an Keys zu kommen.
    >
    > Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück
    > irgendwann auf deiner Seite.

    Es werden eben genau nicht *random* Daten zurück gegeben sondern Blöcke von OpenSSL. Daher bekommt man nur crypted oder decrypted daten oder eben keys. Genau das macht den Bug so verdammt schwerwiegend. Wäre es eine random Speicheraddresse gewesen wäre es deutlich einfacher.... (OpenSSL recycled intern Speicherblöcke, hier regt sich ein openbsd dev darüber auf http://article.gmane.org/gmane.os.openbsd.misc/211963 da dadurch Schutzmechanismen umgangen werden)

  4. Re: Update

    Autor: ploedman 12.04.14 - 15:36

  5. Re: Update

    Autor: DerVorhangZuUnd... 12.04.14 - 16:49

    ploedman schrieb:
    --------------------------------------------------------------------------------
    > imgs.xkcd.com

    YMMD!

    "Entwickeln Sie ein positives Verhältnis zu Daten und freuen sie sich wenn wir mehr wissen!" ~Angela Merkel (12.06.2015)

  6. Re: Update

    Autor: Stummi 12.04.14 - 13:35

    Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei allen großen Distributionen per Update ausgetauscht worden sein, dannach muss der Server noch neu gestartet werden und alles sollte wieder sicher sein.



    2 mal bearbeitet, zuletzt am 12.04.14 13:36 durch Stummi.

  7. Re: Update

    Autor: jayrworthington 12.04.14 - 14:15

    Stummi schrieb:
    --------------------------------------------------------------------------------
    > Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist
    > ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei
    > allen großen Distributionen per Update ausgetauscht worden sein, dannach
    > muss der Server noch neu gestartet werden und alles sollte wieder sicher
    > sein.

    Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache) updated werden, wenn die distribution evntl. sogar ein major-upgrade von openssl macht, saemmtliche linked applications...

    Und dann hast Du evntl. auch noch das Problem, das viele applikations nicht das system-openssl benutzen, sondern wie zB zimbra eine komplette umgebung incl. allen libs mitbringen. Man kommt in der Praxis nicht darum herum, jeden server zu testen, ob er nach einem update wirklich dicht ist.

    Ich bin sowas von traurig, das ich gerade diese Woche Ferien hatte, hrhrhrh....



    1 mal bearbeitet, zuletzt am 12.04.14 14:17 durch jayrworthington.

  8. Re: Update

    Autor: hannob (golem.de) 12.04.14 - 15:06

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > openssl macht, saemmtliche linked applications...

    Das ist Unfug, zumindest bei allen normalen Systemen.
    I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein Update, nur einen Restart. Nur wenn man Sachen statisch linkt wäre das nicht so. Das macht man aber im Normalfall nicht, wer ein statisch gelinktes mod_ssl hat macht irgendwas komisches (und sollte wissen was er tut).

    Es gibt ein paar Ausnahmen, z.b. bringt mod_spdy sein eigenes, statisch gelinktes OpenSSL mit und auch proprietäre Programme sind oft statisch gelinkt.

  9. Re: Update

    Autor: jayrworthington 15.04.14 - 01:35

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > jayrworthington schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > > openssl macht, saemmtliche linked applications...
    >
    > Das ist Unfug, zumindest bei allen normalen Systemen.
    > I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite
    > OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein

    Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen nuetzt es nichts, wenn die calls in der neuen version andere namen haben. Darum schrieb ich von major update. Wenn eine disti einfach von 1.0.1.h auf 1.0.1.i upgraded, wird das sicher gehen, aber von zB 0.9.8 auf 1.0.1 wird in der praxis nicht gehen (versuchen Sie mal ein RHEL5 auf nen aktuellen Stand mit PFS zu bekommen, ich musste dazu faktisch alle applikationen die ssl benutzen neu builden)...



    1 mal bearbeitet, zuletzt am 15.04.14 01:44 durch jayrworthington.

  10. Re: Update

    Autor: PHPGangsta 12.04.14 - 15:57

    Der Testserver von Cloudflare setzt die Version OpenSSL 1.0.1.f ein, das ist eine anfällige Version. OpenSSL 1.0.1.g ist die gefixte Version.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. GBA Professional e. Kfr., Ahrensfelde-Lindenberg
  2. enercity AG, Hannover
  3. GELSENWASSER AG, Gelsenkirchen
  4. MAINGAU Energie GmbH, Obertshausen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Bose Frames Alto und Rondo für je 199€)
  2. 119,90€ + Versand (Vergleichspreis 144,61€ + Versand)
  3. 199€
  4. (aktuell u. a. AMD Ryzen Threadripper 1920X für 209,90€ statt 254,01€ im Vergleich und be...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49