"Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

[janni1]

Hi,
falls es einige von euch noch nicht mitbekommen haben sollten, es wurde eine gravierende Sicherheitslücke in OpenSSL entdeckt.
Weitere Informationen dazu z.B. hier
bei Heise:

Sie müssen registriert sein, um Links zu sehen.

Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.
...
In erster Linie betroffen sind jetzt alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen. Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste. Es ist äußerst wichtig, diese Systeme jetzt schnellstmöglichst zu sichern.

Hier die Endecker:

Sie müssen registriert sein, um Links zu sehen.

Prüfungstool:

Sie müssen registriert sein, um Links zu sehen.

Gruß
janni1

 

[Alex]

AW: "Heartbleed" Wie sicherlich einige von Fehler in der Verschlüsselungssoftware Ope

Betrifft z.B. Debian ab Version 7. Debian 6 ist nicht betroffen, da es noch Version 0.9.8 benutztz.
So kann man ermitteln, welche Version man hat:

sudo openssl version -a

Spoiler

Du musst angemeldet sein, um Bilder zu sehen.

solte die Version vor dem 7 April kompiliert worden sein, ist der Bug drin

 

[janni1]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Hi,
hier noch was konkret zu den betroffenen Versionen:

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Quelle:

Sie müssen registriert sein, um Links zu sehen.

Gruß
janni1

 

[kalle1984]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Will demnächst von nem Igel auf nen Pogo umsteigen. Wie sieht es damit aus, welche Version läuft auf den Pogos?

Gesendet von meinem Alcatel One Touch Easy

 

[Alex]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Da hängt nicht von der Hardware, sondern vom verwendeten Betriebssystem ab.
Kannst dir aber z.B. für Wheezy auch manuell das Paket von Jessie installieren:

Sie müssen registriert sein, um Links zu sehen.

 

[kalle1984]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

OK, wollte den Pogo nach der Anleitung hier im Forum aufsetzen. Ich schau mal, was da installiert wird.

Gesendet von meinem Alcatel One Touch Easy

 

[Alex]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Auf dem Pogo wird Wheezy installiert, und im Moment openssl (1.0.1e-2+deb7u6) um genau zu sein. Also mit Bug, aber die Lösung hab ich ja bereits im letzten Post drin

 

[lokipoki]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Unter Debian gehts auch einfacher, einfach die Sources.list durch folgendes ergänzen:

deb

Sie müssen registriert sein, um Links zu sehen.

wheezy/updates main
deb-src

Sie müssen registriert sein, um Links zu sehen.

wheezy/updates main

deb

Sie müssen registriert sein, um Links zu sehen.

wheezy-updates main
deb-src

Sie müssen registriert sein, um Links zu sehen.

wheezy-updates main

Es wurde schnell reagiert seitens Debian und sie stellten die Updates einen Tag nachdem Public darüber berichtet wurde zur Verfügung. Und am besten noch die Kiste neu starten da die alte Version von einigen Prozessen im Speicher liegt und benutzt wird.

 

[negative]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Heißt dass wenn ich das openssl Paket aktualisiere und oscam neu kompilier ist das Problem gelöst oder?

(Anmerkung: Habs probiert, die libssl1.0.0 aktualisieren, oscam neu kompilieren und die Lücke ist zu. Durchgeführt mit debian wheezy.)

 

[mongo02]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

wie teste ich denn bei meinem server bei heartbleed test ob der davon betroffen ist?
wenn ich ip eingebe, kommt ein fehler wenn ich die dyndns eingebe auch.

 

[mongo02]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

habe jetzt den update hinbekommen, jedoch habe ich immer noch openssl 1.0.1e
drauf.
wie kann ich dies auf 1.0.1g updaten?wäre für jede hilfe dankbar.

 

[Alex]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Schau mal hier: #5
Winfach Paket runder laden und mit dpkg -i installieren

 

[MrX110]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

hey, hab grad update und upgrade auf meinem igel thin client (debian) durchgeführt.

sudo apt-get update && sudo apt-get dist-upgrade

jetzt hab ich folgendes drauf:

Open SSL 0.9.8o 1. Jun 2010
built on: Mon Feb 11 21:27:35 UTC 2013
plattform: debian-i386-i686/cmov

was heißt das jetzt? Sollte nicht 1.0.1 drauf sein?

danke

 

[Alex]

AW: "Heartbleed" Fehler in der Verschlüsselungssoftware OpenSSL

Da du vermutlich Debian 6 verwendest, ist dies die passende, und auch bugfreie Version