Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Heartbleed: Keys auslesen ist…

Update

  1. Thema

Neues Thema Ansicht wechseln


  1. Update

    Autor: tadela 12.04.14 - 12:53

    ich bin jetzt grad verunsichert, wenn der server aktuell ist, besteht die Lücke dann immer noch?

    Mit aktuell meine ich alle Updates wurden installiert. Und alle Zertifikate, etc. wie empfohlen ersetzt ;-)



    1 mal bearbeitet, zuletzt am 12.04.14 12:54 durch tadela.

  2. Re: Update

    Autor: NeoCortex 12.04.14 - 13:16

    Wenn ein update installiert ist das den heartbeat exploit schließt besteht keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist (mit viel Glück) an Keys zu kommen.

    Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück irgendwann auf deiner Seite.

  3. Re: Update

    Autor: Stummi 12.04.14 - 13:35

    Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei allen großen Distributionen per Update ausgetauscht worden sein, dannach muss der Server noch neu gestartet werden und alles sollte wieder sicher sein.



    2 mal bearbeitet, zuletzt am 12.04.14 13:36 durch Stummi.

  4. Re: Update

    Autor: jayrworthington 12.04.14 - 14:15

    Stummi schrieb:
    --------------------------------------------------------------------------------
    > Nicht der Webserver hat den Bug, sondern die openSSL-Bibliothek, das ist
    > ein wichtiger Unterschied. Diese OpenSSL-Bibliothek sollte mittlerweile bei
    > allen großen Distributionen per Update ausgetauscht worden sein, dannach
    > muss der Server noch neu gestartet werden und alles sollte wieder sicher
    > sein.

    Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache) updated werden, wenn die distribution evntl. sogar ein major-upgrade von openssl macht, saemmtliche linked applications...

    Und dann hast Du evntl. auch noch das Problem, das viele applikations nicht das system-openssl benutzen, sondern wie zB zimbra eine komplette umgebung incl. allen libs mitbringen. Man kommt in der Praxis nicht darum herum, jeden server zu testen, ob er nach einem update wirklich dicht ist.

    Ich bin sowas von traurig, das ich gerade diese Woche Ferien hatte, hrhrhrh....



    1 mal bearbeitet, zuletzt am 12.04.14 14:17 durch jayrworthington.

  5. Re: Update

    Autor: rtreffer 12.04.14 - 14:36

    NeoCortex schrieb:
    --------------------------------------------------------------------------------
    > Wenn ein update installiert ist das den heartbeat exploit schließt besteht
    > keine Gefahr mehr. Hierbei ging es darum das ja quasi random Daten aus dem
    > Arbeitsspeicher zurück gegeben werden und ob es so überhaupt möglich ist
    > (mit viel Glück) an Keys zu kommen.
    >
    > Wie es scheint, wenn du nur genug zeit und abfragen machst, ist das Glück
    > irgendwann auf deiner Seite.

    Es werden eben genau nicht *random* Daten zurück gegeben sondern Blöcke von OpenSSL. Daher bekommt man nur crypted oder decrypted daten oder eben keys. Genau das macht den Bug so verdammt schwerwiegend. Wäre es eine random Speicheraddresse gewesen wäre es deutlich einfacher.... (OpenSSL recycled intern Speicherblöcke, hier regt sich ein openbsd dev darüber auf http://article.gmane.org/gmane.os.openbsd.misc/211963 da dadurch Schutzmechanismen umgangen werden)

  6. Re: Update

    Autor: hannob (golem.de) 12.04.14 - 15:06

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > openssl macht, saemmtliche linked applications...

    Das ist Unfug, zumindest bei allen normalen Systemen.
    I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein Update, nur einen Restart. Nur wenn man Sachen statisch linkt wäre das nicht so. Das macht man aber im Normalfall nicht, wer ein statisch gelinktes mod_ssl hat macht irgendwas komisches (und sollte wissen was er tut).

    Es gibt ein paar Ausnahmen, z.b. bringt mod_spdy sein eigenes, statisch gelinktes OpenSSL mit und auch proprietäre Programme sind oft statisch gelinkt.

  7. Re: Update

    Autor: ploedman 12.04.14 - 15:36

  8. Re: Update

    Autor: PHPGangsta 12.04.14 - 15:57

    Der Testserver von Cloudflare setzt die Version OpenSSL 1.0.1.f ein, das ist eine anfällige Version. OpenSSL 1.0.1.g ist die gefixte Version.

  9. Re: Update

    Autor: DerVorhangZuUndAlleFragenOffen 12.04.14 - 16:49

    ploedman schrieb:
    --------------------------------------------------------------------------------
    > imgs.xkcd.com

    YMMD!

    "Entwickeln Sie ein positives Verhältnis zu Daten und freuen sie sich wenn wir mehr wissen!" ~Angela Merkel (12.06.2015)

  10. Re: Update

    Autor: jayrworthington 15.04.14 - 01:35

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > jayrworthington schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nicht unbedingt! Es muss meistens auch mindestens mod_ssl (bei apache)
    > > updated werden, wenn die distribution evntl. sogar ein major-upgrade von
    > > openssl macht, saemmtliche linked applications...
    >
    > Das ist Unfug, zumindest bei allen normalen Systemen.
    > I.d.r. wird OpenSSL dynamisch gelinkt. D.h. wenn man das systemweite
    > OpenSSL austauscht nutzen Apache & Co das automatisch und brauchen kein

    Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen nuetzt es nichts, wenn die calls in der neuen version andere namen haben. Darum schrieb ich von major update. Wenn eine disti einfach von 1.0.1.h auf 1.0.1.i upgraded, wird das sicher gehen, aber von zB 0.9.8 auf 1.0.1 wird in der praxis nicht gehen (versuchen Sie mal ein RHEL5 auf nen aktuellen Stand mit PFS zu bekommen, ich musste dazu faktisch alle applikationen die ssl benutzen neu builden)...



    1 mal bearbeitet, zuletzt am 15.04.14 01:44 durch jayrworthington.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Porsche Consulting GmbH, Stuttgart, Berlin, Frankfurt am Main, Hamburg, München
  2. Etkon GmbH, Gräfelfing
  3. MACH AG, Berlin, Lübeck
  4. Landkreis Märkisch-Oderland, Seelow

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  2. 4,99€
  3. (-55%) 4,50€
  4. 17,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

  1. Netzbetreiber: Huawei verhandelt 5G-Lizenzierung an USA
    Netzbetreiber
    Huawei verhandelt 5G-Lizenzierung an USA

    Das Angebot des Huawei-Chefs, die 5G-Technologie an die USA zu lizenzieren, wird angenommen. Erste Gespräche sind angelaufen, aber der Ausgang ist noch offen.

  2. Leak: NordVPN wurde gehackt
    Leak
    NordVPN wurde gehackt

    Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.

  3. Onlinehandel: Verdorbene Lebensmittel auf Amazon Marketplace
    Onlinehandel
    Verdorbene Lebensmittel auf Amazon Marketplace

    In den USA erhalten Amazon-Kunden immer wieder abgelaufene und teilweise sogar verdorbene Lebensmittel, die über den Marketplace verkauft werden. Amazon sagt, dass ein System aus menschlichen Aufpassern und einer KI für Sicherheit sorgen soll - immer funktioniert das allerdings nicht.


  1. 13:27

  2. 12:55

  3. 12:40

  4. 12:03

  5. 11:31

  6. 11:16

  7. 11:01

  8. 10:37