OpenSSL is broken - Heartbleed Bug - Forum

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

08.04.2014 - 09:43

Zitat
Ein äußerst schwerwiegender Programmierfehler gefährdet offenbar Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Angesichts der Verbreitung der OpenSource-Biliothek eine ziemliche Katastrophe.

Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.

Quellen: heise.de | heartbleed.com

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15867

08.04.2014 - 09:59

also kein zufall das heute einige updates in verschiedenen produkten erschienen sind

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

08.04.2014 - 10:01

ganz so schlimm wie anfang angenommen dürfte es dennoch nicht sein.

openssl 1.0.0 ist nicht betroffen.
alles ab 1.0.1 b 1.0.1f -> 1.0.1g ist der patch.
das heißt, alles was TLS1.0 ist, ist nicht betroffen

testen kann man es wie folgt (achtung der eigene openssl client muss 1.2 unterstützen

)

Code:

echo QUIT | openssl s_client -connect mail.overclockers.at:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)'

hier die quelle btw:
heise wusste bis vor wenigen minuten ja noch nichts davon.

http://heartbleed.com
https://www.openssl.org/news/secadv_20140407.txt

Bearbeitet von Smut am 08.04.2014, 10:08

deagle

Addicted

Registered: May 2004
Location: Wien
Posts: 381

08.04.2014 - 10:29

In den Debian wheezy repos ist die gepatche Version (1.0.1e-2+deb7u5) schon aktualisiert, mit PFS-ciphers und einem reboot (aktive Sessions könnten trotzdem kompromittiert sein) sollte man auf der sicheren Seite sein.

Trotzdem wird das hunderttausende Sysadmins weltweit zum Schwitzen bringen heute

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

08.04.2014 - 10:32

die großen US-webservices sind schon alle gepatcht

in .eu sieht es anders aus

imho ein gefährliches spiel, wenn infos vorher an cloudflare, amazon, apple, fb, google (ok sie haben es gefunden

) verteilt werden.
je mehr davon wissen umso eher ist davon auszugehen, dass die angreifer ebenfalls davon wind bekommen.

testsites:
http://filippo.io/Heartbleed/
http://possible.lv/tools/hb/

Bearbeitet von Smut am 08.04.2014, 10:44

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12171

08.04.2014 - 10:52

*sigh* hab gerade unser HTTPS-Frontend gepatcht und neu kompiliert. Und das unmittelbar nach einem DDoS auf unsere Buerostandleitung... Toller Tag.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

08.04.2014 - 10:55

CentOS/RedHat haben die Patches auch schon in den Repos.
https://rhn.redhat.com/errata/RHSA-2014-0376.html

Mich würde ja brennend interessieren ob das mit dem "Durchbruch" der NSA bei SSL zu tun hat

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12171

08.04.2014 - 11:01

Zitat von Smut

Code:

echo QUIT | openssl s_client -connect mail.overclockers.at:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)'

Das allein reicht nicht aus; bzw. liefert der "Check" ggf. False Positives: Auch eine gepatchte OpenSSL-Library oder etwaige andere TLS-Libraries, die heartbeat implementieren und nicht unter dieser Verwundbarkeit leiden, werden hiermit ebenfalls (aber faelschlicherweise) als verwundbar erkannt.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

08.04.2014 - 11:04

thx für die info -> das script ist ohnehin nur für ganz schnellen test.
weil wenn der webservice nicht reagiert, würde das auch kein ergebnis liefern.
ist aber grad die schnellste variante mit der ich checken kann.

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

08.04.2014 - 11:54

Der Server von shop.overclockers.at war auch betroffen - das Update wurde bereits eingespielt.

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

08.04.2014 - 13:34

Das Update allein genügt eigentlich nicht. Man sollte alle Zertifikate widerrufen und neue ausstellen.
Bei StartSSL würde das pro Zertifikat 24,90 US-Dollar kosten (auch für gratis Zertifikate): https://www.startssl.com/?app=25#72

Wer tut sich das von euch an?

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

08.04.2014 - 13:39

hm also ich sag mal so, ob es tatsächlich notwendig sein wird, werden die analysen der nächsten tage ergeben.
derzeit ist es schwer zu beurteilen wieviele angriffe tatsächlich durchgeführt wurden.

wir haben bei unseren zertifikaten die möglichkeit sie gratis erneut ausstellen zu lassen. (reissue)
wer das macht sollte auch darauf achten, dass das alte zertifikat unbedingt auf die CRL (revocation list) kommt!

Bearbeitet von Smut am 08.04.2014, 13:41

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12171

08.04.2014 - 13:52

Zitat von luka
Das Update allein genügt eigentlich nicht. Man sollte alle Zertifikate widerrufen und neue ausstellen.
Bei StartSSL würde das pro Zertifikat 24,90 US-Dollar kosten (auch für gratis Zertifikate): https://www.startssl.com/?app=25#72

Wer tut sich das von euch an?

In der Firma schon *seufz*

Privat wird das hier ploetzlich wieder sehr relevant: http://www.reddit.com/r/sysadmin/co...09_certificate/
Sachdienliche Hinweise erbeten

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

08.04.2014 - 14:26

StartSSL ist derzeit überlastet

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

08.04.2014 - 16:36

heftig, erste erfolge bei einer attacke auf yahoo:
https://twitter.com/markloman/status/453502888447586304

ps.: netbanking.at dürfte auch betroffen sein, ev nicht einloggen

gibt bereits seit mittag scripte die die lücke verwertbar machen.
die kann jeder der linux starten kann ausführen.

Bearbeitet von Smut am 08.04.2014, 16:40

Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	08.04.2014 - 09:43 Zitat Ein äußerst schwerwiegender Programmierfehler gefährdet offenbar Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Angesichts der Verbreitung der OpenSource-Biliothek eine ziemliche Katastrophe. Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen. Quellen: heise.de \| heartbleed.com
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15867	08.04.2014 - 09:59 also kein zufall das heute einige updates in verschiedenen produkten erschienen sind
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	08.04.2014 - 10:01 ganz so schlimm wie anfang angenommen dürfte es dennoch nicht sein. openssl 1.0.0 ist nicht betroffen. alles ab 1.0.1 b 1.0.1f -> 1.0.1g ist der patch. das heißt, alles was TLS1.0 ist, ist nicht betroffen testen kann man es wie folgt (achtung der eigene openssl client muss 1.2 unterstützen ) Code: `echo QUIT \| openssl s_client -connect mail.overclockers.at:443 -tlsextdebug 2>&1\| grep 'server extension "heartbeat" (id=15)'` hier die quelle btw: heise wusste bis vor wenigen minuten ja noch nichts davon. http://heartbleed.com https://www.openssl.org/news/secadv_20140407.txt Bearbeitet von Smut am 08.04.2014, 10:08
deagle Addicted Registered: May 2004 Location: Wien Posts: 381	08.04.2014 - 10:29 In den Debian wheezy repos ist die gepatche Version (1.0.1e-2+deb7u5) schon aktualisiert, mit PFS-ciphers und einem reboot (aktive Sessions könnten trotzdem kompromittiert sein) sollte man auf der sicheren Seite sein. Trotzdem wird das hunderttausende Sysadmins weltweit zum Schwitzen bringen heute
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	08.04.2014 - 10:32 die großen US-webservices sind schon alle gepatcht in .eu sieht es anders aus imho ein gefährliches spiel, wenn infos vorher an cloudflare, amazon, apple, fb, google (ok sie haben es gefunden ) verteilt werden. je mehr davon wissen umso eher ist davon auszugehen, dass die angreifer ebenfalls davon wind bekommen. testsites: http://filippo.io/Heartbleed/ http://possible.lv/tools/hb/ Bearbeitet von Smut am 08.04.2014, 10:44
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12171	08.04.2014 - 10:52 sigh hab gerade unser HTTPS-Frontend gepatcht und neu kompiliert. Und das unmittelbar nach einem DDoS auf unsere Buerostandleitung... Toller Tag.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	08.04.2014 - 10:55 CentOS/RedHat haben die Patches auch schon in den Repos. https://rhn.redhat.com/errata/RHSA-2014-0376.html Mich würde ja brennend interessieren ob das mit dem "Durchbruch" der NSA bei SSL zu tun hat
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12171	08.04.2014 - 11:01 Zitat von Smut Code: `echo QUIT \| openssl s_client -connect mail.overclockers.at:443 -tlsextdebug 2>&1\| grep 'server extension "heartbeat" (id=15)'` Das allein reicht nicht aus; bzw. liefert der "Check" ggf. False Positives: Auch eine gepatchte OpenSSL-Library oder etwaige andere TLS-Libraries, die heartbeat implementieren und nicht unter dieser Verwundbarkeit leiden, werden hiermit ebenfalls (aber faelschlicherweise) als verwundbar erkannt.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	08.04.2014 - 11:04 thx für die info -> das script ist ohnehin nur für ganz schnellen test. weil wenn der webservice nicht reagiert, würde das auch kein ergebnis liefern. ist aber grad die schnellste variante mit der ich checken kann.
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	08.04.2014 - 11:54 Der Server von shop.overclockers.at war auch betroffen - das Update wurde bereits eingespielt.
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	08.04.2014 - 13:34 Das Update allein genügt eigentlich nicht. Man sollte alle Zertifikate widerrufen und neue ausstellen. Bei StartSSL würde das pro Zertifikat 24,90 US-Dollar kosten (auch für gratis Zertifikate): https://www.startssl.com/?app=25#72 Wer tut sich das von euch an?
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	08.04.2014 - 13:39 hm also ich sag mal so, ob es tatsächlich notwendig sein wird, werden die analysen der nächsten tage ergeben. derzeit ist es schwer zu beurteilen wieviele angriffe tatsächlich durchgeführt wurden. wir haben bei unseren zertifikaten die möglichkeit sie gratis erneut ausstellen zu lassen. (reissue) wer das macht sollte auch darauf achten, dass das alte zertifikat unbedingt auf die CRL (revocation list) kommt! Bearbeitet von Smut am 08.04.2014, 13:41
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12171	08.04.2014 - 13:52 Zitat von luka Das Update allein genügt eigentlich nicht. Man sollte alle Zertifikate widerrufen und neue ausstellen. Bei StartSSL würde das pro Zertifikat 24,90 US-Dollar kosten (auch für gratis Zertifikate): https://www.startssl.com/?app=25#72 Wer tut sich das von euch an? In der Firma schon seufz Privat wird das hier ploetzlich wieder sehr relevant: http://www.reddit.com/r/sysadmin/co...09_certificate/ Sachdienliche Hinweise erbeten
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	08.04.2014 - 14:26 StartSSL ist derzeit überlastet
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	08.04.2014 - 16:36 heftig, erste erfolge bei einer attacke auf yahoo: https://twitter.com/markloman/status/453502888447586304 ps.: netbanking.at dürfte auch betroffen sein, ev nicht einloggen gibt bereits seit mittag scripte die die lücke verwertbar machen. die kann jeder der linux starten kann ausführen. Bearbeitet von Smut am 08.04.2014, 16:40

OpenSSL is broken - Heartbleed Bug

Forum Index > Digital Life > Internet & Provider

Hansmaulwurf

userohnenamen

Smut

deagle

Smut

COLOSSUS

Hansmaulwurf

COLOSSUS

Smut

Luka

Luka

Smut

COLOSSUS

Luka

Smut