OpenSSL is broken - Heartbleed Bug - Forum - Page 3

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12167

09.04.2014 - 11:15

war es so ein offensichtlicher fehler dass man ihn beim reviewen sehen hätte müssen ?
das ganze ist halt schon reichlich komplex, also soviele werden den code auch ned reviewen.

edit:

ok hier sieht man den genauen fehler:
http://blog.existentialize.com/diag...tbleed-bug.html

Bearbeitet von davebastard am 09.04.2014, 11:22

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19689

09.04.2014 - 11:19

Zitat von UnleashThebeast
Nur so zum drüber nachdenken, wer den Code submitted hat:

Ist es notwendig irgendein Individuum zu exposen, er hats wohl nicht absichtlich gemacht (würde ich jetzt mal davon ausgehen)?

ad Open Source: Ist halt die Krux ... wenn etwas open source ist interessiert es die sonst so aufschreienden und alles nachprüfenden Skeptiker nicht

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3542

09.04.2014 - 11:30

Naja, "nicht absichtlich gemacht" ist halt immer so eine Sache. Wenn man sich gerade den Bug genauer anschaut, sieht das eigentlich schon sehr nach einem absichtlichen Backdoor aus. Dass dieses backdoor dann auch noch von jemandem submitted wird, der beim staatlichen Telekomanbieter arbeitet (der nebenbei für den Nachrichtendienst arbeitet und betreut) hinterlässt halt schon einen sehr unguten Geschmack.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6454

09.04.2014 - 11:31

Zitat von semteX
wenn etwas open source ist können alle draufschaun, ob es wer tut bleibt dem einzelnen überlassen

Das Draufschauen alleine nützt wenig, man muss das Gesehene auch interpretieren können und die richtigen Schlüsse daraus ziehen. Und bei solch komplexen Themen wie Kryptographie und sicherem Schlüsselaustausch über unsichere Verbindungen im Speziellen, da gibt es nicht mehr viele, die das wirklich können. So kann etwas, wie man sieht, jahrelang unentdeckt bleiben.

Manchmal ist es auch so, dass Leute sich Code anschauen und ein ungutes Gefühl bekommen, es aber nicht wirklich in Worte fassen, geschweige denn einen Exploitcode aus dem Ärmel schütteln können und Jahre später doch noch Recht bekommen.

Luki

bierernste Islandkritik

Registered: Nov 2003
Location: gradec
Posts: 2984

09.04.2014 - 11:31

Zitat von UnleashThebeast
Naja, "nicht absichtlich gemacht" ist halt immer so eine Sache. Wenn man sich gerade den Bug genauer anschaut, sieht das eigentlich schon sehr nach einem absichtlichen Backdoor aus. Dass dieses backdoor dann auch noch von jemandem submitted wird, der beim staatlichen Telekomanbieter arbeitet (der nebenbei für den Nachrichtendienst arbeitet und betreut) hinterlässt halt schon einen sehr unguten Geschmack.

ack!

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12167

09.04.2014 - 11:32

Zitat
der nebenbei für den Nachrichtendienst arbeitet und betreut

wo hastn das her ?

Luki

bierernste Islandkritik

Registered: Nov 2003
Location: gradec
Posts: 2984

09.04.2014 - 11:37

Zitat von davebastard
wo hastn das her ?

https://netzpolitik.org/2008/ip-adr...nd-aufgetaucht/
http://wikileaks.org/wiki/German_Se...ts,_13_Nov_2008

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19689

09.04.2014 - 11:37

Sehr weit hergeholt ... er arbeitet halt bei der Telekom ... ein IT-Techniker/Programmierer der bissl was von dieser Thematik versteht arbeitet bei der Telekom: Abnormal? - bitte wie?

/Edit: Und selbst wenn es so ist, private Daten veröffentlichen gehört sich nicht - auch wenn man es mit etwas recherche ev. selber rausfinden könnte

Die ganze Lynchmobjustiz die viele gerne hätten kristallisiert sich halt gerade im Internet gerne raus. Vor allem weil derjenige ja immer noch unschuldig sein kann - und JA: "Es gilt die Unschuldsvermutung".

IMHO ein NoGo

Bearbeitet von daisho am 09.04.2014, 11:40

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12167

09.04.2014 - 11:46

t-systems hat über 29.000 mitarbeiter in deutschland (laut wikipedia).
das er grad da einer derer ist die mit dem BND zusammengearbeitet haben ist schon sehr spekulativ.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6454

09.04.2014 - 11:53

Ich halte auch nicht viel davon eine Hexenjagd zu veranstalten, der Autor des Codes wird sich vermutlich selbst dazu äußern wollen und zumindest das sollte man abwarten. Eher sollte man mehr Energien auf verbesserte Codereview-Mechanismen konzentrieren, besonders bei so kritischen Dingen wie Cryptosuiten.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12167

09.04.2014 - 12:00

@hexenjagd:

Zitat
Es stellt sich raus, dass der Mann damals noch an seiner Dissertation geschrieben hat und an der Uni war und erst später bei T-Systems anfing. In der Dissertation geht es unter anderem um die Heartbeat-Extension, die mit UDP begründet wird. In dem Text steht auch drin, dass man keine Payload braucht. Aber lasst uns das mal trotzdem so machen, weil ... Flexibilität und so! (Danke, Jürgen)

http://blog.fefe.de/?ts=adba343f

issue

Rock and Stone, brother!

Registered: Feb 2003
Location: Linz
Posts: 3644

09.04.2014 - 12:47

Zitat
> No. OpenSSL has exploit mitigation countermeasures to make sure it's
> exploitable.

http://article.gmane.org/gmane.os.openbsd.misc/211963

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

09.04.2014 - 13:20

Zitat von luka
Der Server von shop.overclockers.at war auch betroffen - das Update wurde bereits eingespielt.

http://filippo.io/Heartbleed/

Wenn ich http://www.overclockers.at eingeb..

Zitat
Uh-oh, something went wrong: tls: oversized record received with length 20291

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6454

09.04.2014 - 13:32

http://www.overclockers.at verwendet gar kein OpenSSL, da geht es um http://shop.overclockers.at

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12070

09.04.2014 - 13:46

http://www.overclockers.at hat einen normalen HTTP-Listener auf dem HTTPS-Port, weswegen ein TLS-Handshake nicht funktionieren kann bzw. mit wilden Fehlermeldungen stirbt.

Code:

jt@d257:~ $ curl --head http://www.overclockers.at:443/
HTTP/1.1 403 Forbidden
Date: Wed, 09 Apr 2014 11:47:05 GMT
Server: Apache
Vary: Accept-Encoding
Content-Type: text/html; charset=iso-8859-1

davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12167	09.04.2014 - 11:15 war es so ein offensichtlicher fehler dass man ihn beim reviewen sehen hätte müssen ? das ganze ist halt schon reichlich komplex, also soviele werden den code auch ned reviewen. edit: ok hier sieht man den genauen fehler: http://blog.existentialize.com/diag...tbleed-bug.html Bearbeitet von davebastard am 09.04.2014, 11:22
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19689	09.04.2014 - 11:19 Zitat von UnleashThebeast Nur so zum drüber nachdenken, wer den Code submitted hat: Ist es notwendig irgendein Individuum zu exposen, er hats wohl nicht absichtlich gemacht (würde ich jetzt mal davon ausgehen)? ad Open Source: Ist halt die Krux ... wenn etwas open source ist interessiert es die sonst so aufschreienden und alles nachprüfenden Skeptiker nicht
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3542	09.04.2014 - 11:30 Naja, "nicht absichtlich gemacht" ist halt immer so eine Sache. Wenn man sich gerade den Bug genauer anschaut, sieht das eigentlich schon sehr nach einem absichtlichen Backdoor aus. Dass dieses backdoor dann auch noch von jemandem submitted wird, der beim staatlichen Telekomanbieter arbeitet (der nebenbei für den Nachrichtendienst arbeitet und betreut) hinterlässt halt schon einen sehr unguten Geschmack.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6454	09.04.2014 - 11:31 Zitat von semteX wenn etwas open source ist können alle draufschaun, ob es wer tut bleibt dem einzelnen überlassen Das Draufschauen alleine nützt wenig, man muss das Gesehene auch interpretieren können und die richtigen Schlüsse daraus ziehen. Und bei solch komplexen Themen wie Kryptographie und sicherem Schlüsselaustausch über unsichere Verbindungen im Speziellen, da gibt es nicht mehr viele, die das wirklich können. So kann etwas, wie man sieht, jahrelang unentdeckt bleiben. Manchmal ist es auch so, dass Leute sich Code anschauen und ein ungutes Gefühl bekommen, es aber nicht wirklich in Worte fassen, geschweige denn einen Exploitcode aus dem Ärmel schütteln können und Jahre später doch noch Recht bekommen.
__Luki__ bierernste Islandkritik Registered: Nov 2003 Location: gradec Posts: 2984	09.04.2014 - 11:31 Zitat von UnleashThebeast Naja, "nicht absichtlich gemacht" ist halt immer so eine Sache. Wenn man sich gerade den Bug genauer anschaut, sieht das eigentlich schon sehr nach einem absichtlichen Backdoor aus. Dass dieses backdoor dann auch noch von jemandem submitted wird, der beim staatlichen Telekomanbieter arbeitet (der nebenbei für den Nachrichtendienst arbeitet und betreut) hinterlässt halt schon einen sehr unguten Geschmack. ack!
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12167	09.04.2014 - 11:32 Zitat der nebenbei für den Nachrichtendienst arbeitet und betreut wo hastn das her ?
__Luki__ bierernste Islandkritik Registered: Nov 2003 Location: gradec Posts: 2984	09.04.2014 - 11:37 Zitat von davebastard wo hastn das her ? https://netzpolitik.org/2008/ip-adr...nd-aufgetaucht/ http://wikileaks.org/wiki/German_Se...ts,_13_Nov_2008
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19689	09.04.2014 - 11:37 Sehr weit hergeholt ... er arbeitet halt bei der Telekom ... ein IT-Techniker/Programmierer der bissl was von dieser Thematik versteht arbeitet bei der Telekom: Abnormal? - bitte wie? /Edit: Und selbst wenn es so ist, private Daten veröffentlichen gehört sich nicht - auch wenn man es mit etwas recherche ev. selber rausfinden könnte Die ganze Lynchmobjustiz die viele gerne hätten kristallisiert sich halt gerade im Internet gerne raus. Vor allem weil derjenige ja immer noch unschuldig sein kann - und JA: "Es gilt die Unschuldsvermutung". IMHO ein NoGo Bearbeitet von daisho am 09.04.2014, 11:40
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12167	09.04.2014 - 11:46 t-systems hat über 29.000 mitarbeiter in deutschland (laut wikipedia). das er grad da einer derer ist die mit dem BND zusammengearbeitet haben ist schon sehr spekulativ.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6454	09.04.2014 - 11:53 Ich halte auch nicht viel davon eine Hexenjagd zu veranstalten, der Autor des Codes wird sich vermutlich selbst dazu äußern wollen und zumindest das sollte man abwarten. Eher sollte man mehr Energien auf verbesserte Codereview-Mechanismen konzentrieren, besonders bei so kritischen Dingen wie Cryptosuiten.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12167	09.04.2014 - 12:00 @hexenjagd: Zitat Es stellt sich raus, dass der Mann damals noch an seiner Dissertation geschrieben hat und an der Uni war und erst später bei T-Systems anfing. In der Dissertation geht es unter anderem um die Heartbeat-Extension, die mit UDP begründet wird. In dem Text steht auch drin, dass man keine Payload braucht. Aber lasst uns das mal trotzdem so machen, weil ... Flexibilität und so! (Danke, Jürgen) http://blog.fefe.de/?ts=adba343f
issue Rock and Stone, brother! Registered: Feb 2003 Location: Linz Posts: 3644	09.04.2014 - 12:47 Zitat > No. OpenSSL has exploit mitigation countermeasures to make sure it's > exploitable. http://article.gmane.org/gmane.os.openbsd.misc/211963
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	09.04.2014 - 13:20 Zitat von luka Der Server von shop.overclockers.at war auch betroffen - das Update wurde bereits eingespielt. http://filippo.io/Heartbleed/ Wenn ich http://www.overclockers.at eingeb.. Zitat Uh-oh, something went wrong: tls: oversized record received with length 20291
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6454	09.04.2014 - 13:32 http://www.overclockers.at verwendet gar kein OpenSSL, da geht es um http://shop.overclockers.at
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12070	09.04.2014 - 13:46 http://www.overclockers.at hat einen normalen HTTP-Listener auf dem HTTPS-Port, weswegen ein TLS-Handshake nicht funktionieren kann bzw. mit wilden Fehlermeldungen stirbt. Code: `jt@d257:~ $ curl --head http://www.overclockers.at:443/ HTTP/1.1 403 Forbidden Date: Wed, 09 Apr 2014 11:47:05 GMT Server: Apache Vary: Accept-Encoding Content-Type: text/html; charset=iso-8859-1`

OpenSSL is broken - Heartbleed Bug

Forum Index > Digital Life > Internet & Provider

davebastard

daisho

UnleashThebeast

mr.nice.

__Luki__

davebastard

__Luki__

daisho

davebastard

mr.nice.

davebastard

issue

NeM

mr.nice.

COLOSSUS

Luki

Luki