OpenSSL is broken - Heartbleed Bug - Forum - Page 9

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11241

23.04.2014 - 19:59

Zitat von AdRy
hab ich nicht behauptet. aber dort hat man ein unternehmen dahinter das support gibt und notfalls zur verantwortung gezogen werden kann.

Gibts bei OpenSSL auch, die üblichen Verdächtigen wie IBM, EMC, Checkpoint, HP, Cisco,...

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

23.04.2014 - 22:04

Zitat von AdRy
ein unternehmen dahinter das [...] zur verantwortung gezogen werden kann.

HAHAHAHAHAHAHAHAHA.

scnr.

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10890

23.04.2014 - 23:32

Zitat von COLOSSUS
HAHAHAHAHAHAHAHAHA.

scnr.

this!

@adry: also ernsthaft. wie willst du, wenn dir durch eine sicherheitslücke von win 7 das bankkonto leergeräumt wird (mir ist grad kein besseres stammtisch-blabla eingefallen), ms dafür zur verantwortung ziehen?

oder führ mal bitte deine interpretation von "zur verantworung ziehen" hier an.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5215

20.05.2014 - 11:19

die openbsd-leute haben ein paar folien zur openssl-entrümpelung gemacht:

http://www.openbsd.org/papers/bsdca...l/mgp00001.html

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16839

05.06.2014 - 14:42

openssl hat soeben eine neue version released:

http://www.openssl.org/news/secadv_20140605.txt

haben jetzt wohl ein paar sachen mehr gefixt

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5215

05.06.2014 - 22:46

Zitat von Smut
openssl hat soeben eine neue version released:

diesesmal hats ihnen wirklich den vogel rausgehaun :bash:

alle distros inkl den BSDs haben ne vorwarnung bekommen
nur openBSD nicht...

was für vollidioten sind das eigentlich bei openSSL? :bash:

Lukas

Here to stay

Registered: Feb 2004
Location: ~
Posts: 1883

05.06.2014 - 23:57

Zitat von smashIt
diesesmal hats ihnen wirklich den vogel rausgehaun

alle distros inkl den BSDs haben ne vorwarnung bekommen
nur openBSD nicht...

was für vollidioten sind das eigentlich bei openSSL?

Naja, was erwartest Du wenn derartige Präsentationen von den OpenBSD Leuten gemachten werden.

Weder die Präsenatation noch das Verabsäumnis einer Vorwarnung ist professionell. :rolleyes:

Bin dennoch auf LibreSSL gespannt. Meiner Meinung nach versprechen die OpenBSD Leute das Blaue vom Himmel. Crypto code zugänglich zu machen ist sicherlich keine leichte Aufgabe aber ich würde mich freuen in den Code reinsehen zu können, ohne ein riesen WTF face machen zu müssen.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

06.06.2014 - 00:18

wenigstens wird nun genauer geschaut und bewusster "umsonst" gecoded. Mehr kann man kaum erwarten..

matiss

Chaos Maestro

Registered: Dec 2007
Location: Vienna
Posts: 716

06.06.2014 - 00:44

Ok, die "Präsentation" von den OpenBSD Leuten ist echt hart

Irgendwie versteh ich dann auch die Reaktion von den OpenSSL Leuten, aber ich hoffe das sie sich dann mal bald einkriegen und nicht noch mehr Kindergarten beiderseits draus wird. Eine Spaltung wäre sicher auch nichts brauchbares, sonst kommt noch irgendein Frankenstein raus für die die es Implementieren weil sie dann aus Kompatibilitätsgründen beides brauchen.

Da kann man nur hoffen das was gutes draus wird.

Und passend zum Thema bin ich gerade darüber gestolpert: TheHackerNews: OpenSSL Man in the Middle Vulnerability

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4095

06.06.2014 - 00:49

Zitat von matiss
Ok, die "Präsentation" von den OpenBSD Leuten ist echt hart
Irgendwie versteh ich dann auch die Reaktion von den OpenSSL Leuten, aber ich hoffe das sie sich dann mal bald einkriegen und nicht noch mehr Kindergarten beiderseits draus wird. Eine Spaltung wäre sicher auch nichts brauchbares, sonst kommt noch irgendein Frankenstein raus für die die es Implementieren weil sie dann aus Kompatibilitätsgründen beides brauchen.

Da kann man nur hoffen das was gutes draus wird.

^this. bin zwar schon gespannt was aus libressl wird, aber ich hoffe dass sich die beiden teams irgendwie zusammenraufen können... im moment kanns ja scheinbar nur besser werden

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

06.06.2014 - 07:18

http://blog.fefe.de/?ts=ad6e0ba9

Openbsd ist wohl mitverantwortlich dafür, dass sie nicht auf der liste standen...

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3544

08.06.2014 - 05:31

GREAT NEWS! ~~The Dacia Sandero is now available in RHD countries!~~ Der "Entwickler", der Heartbleed quasi zu verantworten hat, hat sonst auch quasi _nur_ löchrigen Code submitted! Und jeder submit/commit von ihm, wurde vom selben Typen reviewt und durchgewunken. Ein Schelm, wer böses denkt. Ist es wirklich nur Inkompetenz, oder ist dahinter doch ein "größeres Bild" zu suchen? Wurden hier Backdoors als "schlechter Code" getarnt eingeschleust?

http://www.heise.de/newsticker/meld...SL-2217286.html

Bearbeitet von UnleashThebeast am 08.06.2014, 05:34

t3mp

I Love Gasoline

Registered: Mar 2003
Location: upstairs
Posts: 6279

08.06.2014 - 09:13

Jetzt lass einmal die Kirche im Dorf. Eine weitere Sicherheitslücke != "nur Sicherheitslücken". "Vom selben Typen reviewt"? Nichts Überraschendes bei gerade einmal einem Hauptentwickler. Dass ein Programmierer seine Fehler wiederholt, wenn ihn niemand darauf hinweist, ist irgendwo auch klar. Alles in allem sind das Symptome eines Projekts, bei dem die Zahl der Konsumenten in keinem Verhältnis zur Unterstützung stand, und daran wird ja zum Glück nun gearbeitet. Gewöhn dich also an einen Anstieg an Security Bugfixes in naher Zukunft - das ist etwas Positives.

Bearbeitet von t3mp am 08.06.2014, 09:22

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16839

08.06.2014 - 12:17

Zitat von t3mp
Jetzt lass einmal die Kirche im Dorf. Eine weitere Sicherheitslücke != "nur Sicherheitslücken". "Vom selben Typen reviewt"? Nichts Überraschendes bei gerade einmal einem Hauptentwickler. Dass ein Programmierer seine Fehler wiederholt, wenn ihn niemand darauf hinweist, ist irgendwo auch klar. Alles in allem sind das Symptome eines Projekts, bei dem die Zahl der Konsumenten in keinem Verhältnis zur Unterstützung stand, und daran wird ja zum Glück nun gearbeitet. Gewöhn dich also an einen Anstieg an Security Bugfixes in naher Zukunft - das ist etwas Positives.

Ack

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4095

12.07.2014 - 12:21

Libressl 2.0.0 ist draussen, läuft jetzt auch auf anderen os'en als openBSD.
https://marc.info/?l=openbsd-tech&a...1304119&w=2

spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11241	23.04.2014 - 19:59 Zitat von AdRy hab ich nicht behauptet. aber dort hat man ein unternehmen dahinter das support gibt und notfalls zur verantwortung gezogen werden kann. Gibts bei OpenSSL auch, die üblichen Verdächtigen wie IBM, EMC, Checkpoint, HP, Cisco,...
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	23.04.2014 - 22:04 Zitat von AdRy ein unternehmen dahinter das [...] zur verantwortung gezogen werden kann. HAHAHAHAHAHAHAHAHA. scnr.
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10890	23.04.2014 - 23:32 Zitat von COLOSSUS HAHAHAHAHAHAHAHAHA. scnr. this! @adry: also ernsthaft. wie willst du, wenn dir durch eine sicherheitslücke von win 7 das bankkonto leergeräumt wird (mir ist grad kein besseres stammtisch-blabla eingefallen), ms dafür zur verantwortung ziehen? oder führ mal bitte deine interpretation von "zur verantworung ziehen" hier an.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5215	20.05.2014 - 11:19 die openbsd-leute haben ein paar folien zur openssl-entrümpelung gemacht: http://www.openbsd.org/papers/bsdca...l/mgp00001.html
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16839	05.06.2014 - 14:42 openssl hat soeben eine neue version released: http://www.openssl.org/news/secadv_20140605.txt haben jetzt wohl ein paar sachen mehr gefixt
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5215	05.06.2014 - 22:46 Zitat von Smut openssl hat soeben eine neue version released: diesesmal hats ihnen wirklich den vogel rausgehaun alle distros inkl den BSDs haben ne vorwarnung bekommen nur openBSD nicht... was für vollidioten sind das eigentlich bei openSSL?
Lukas Here to stay Registered: Feb 2004 Location: ~ Posts: 1883	05.06.2014 - 23:57 Zitat von smashIt diesesmal hats ihnen wirklich den vogel rausgehaun alle distros inkl den BSDs haben ne vorwarnung bekommen nur openBSD nicht... was für vollidioten sind das eigentlich bei openSSL? Naja, was erwartest Du wenn derartige Präsentationen von den OpenBSD Leuten gemachten werden. Weder die Präsenatation noch das Verabsäumnis einer Vorwarnung ist professionell. Bin dennoch auf LibreSSL gespannt. Meiner Meinung nach versprechen die OpenBSD Leute das Blaue vom Himmel. Crypto code zugänglich zu machen ist sicherlich keine leichte Aufgabe aber ich würde mich freuen in den Code reinsehen zu können, ohne ein riesen WTF face machen zu müssen.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	06.06.2014 - 00:18 wenigstens wird nun genauer geschaut und bewusster "umsonst" gecoded. Mehr kann man kaum erwarten..
matiss Chaos Maestro Registered: Dec 2007 Location: Vienna Posts: 716	06.06.2014 - 00:44 Ok, die "Präsentation" von den OpenBSD Leuten ist echt hart Irgendwie versteh ich dann auch die Reaktion von den OpenSSL Leuten, aber ich hoffe das sie sich dann mal bald einkriegen und nicht noch mehr Kindergarten beiderseits draus wird. Eine Spaltung wäre sicher auch nichts brauchbares, sonst kommt noch irgendein Frankenstein raus für die die es Implementieren weil sie dann aus Kompatibilitätsgründen beides brauchen. Da kann man nur hoffen das was gutes draus wird. Und passend zum Thema bin ich gerade darüber gestolpert: TheHackerNews: OpenSSL Man in the Middle Vulnerability
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4095	06.06.2014 - 00:49 Zitat von matiss Ok, die "Präsentation" von den OpenBSD Leuten ist echt hart Irgendwie versteh ich dann auch die Reaktion von den OpenSSL Leuten, aber ich hoffe das sie sich dann mal bald einkriegen und nicht noch mehr Kindergarten beiderseits draus wird. Eine Spaltung wäre sicher auch nichts brauchbares, sonst kommt noch irgendein Frankenstein raus für die die es Implementieren weil sie dann aus Kompatibilitätsgründen beides brauchen. Da kann man nur hoffen das was gutes draus wird. ^this. bin zwar schon gespannt was aus libressl wird, aber ich hoffe dass sich die beiden teams irgendwie zusammenraufen können... im moment kanns ja scheinbar nur besser werden
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	06.06.2014 - 07:18 http://blog.fefe.de/?ts=ad6e0ba9 Openbsd ist wohl mitverantwortlich dafür, dass sie nicht auf der liste standen...
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3544	08.06.2014 - 05:31 GREAT NEWS! ~~The Dacia Sandero is now available in RHD countries!~~ Der "Entwickler", der Heartbleed quasi zu verantworten hat, hat sonst auch quasi _nur_ löchrigen Code submitted! Und jeder submit/commit von ihm, wurde vom selben Typen reviewt und durchgewunken. Ein Schelm, wer böses denkt. Ist es wirklich nur Inkompetenz, oder ist dahinter doch ein "größeres Bild" zu suchen? Wurden hier Backdoors als "schlechter Code" getarnt eingeschleust? http://www.heise.de/newsticker/meld...SL-2217286.html Bearbeitet von UnleashThebeast am 08.06.2014, 05:34
t3mp I Love Gasoline Registered: Mar 2003 Location: upstairs Posts: 6279	08.06.2014 - 09:13 Jetzt lass einmal die Kirche im Dorf. Eine weitere Sicherheitslücke != "nur Sicherheitslücken". "Vom selben Typen reviewt"? Nichts Überraschendes bei gerade einmal einem Hauptentwickler. Dass ein Programmierer seine Fehler wiederholt, wenn ihn niemand darauf hinweist, ist irgendwo auch klar. Alles in allem sind das Symptome eines Projekts, bei dem die Zahl der Konsumenten in keinem Verhältnis zur Unterstützung stand, und daran wird ja zum Glück nun gearbeitet. Gewöhn dich also an einen Anstieg an Security Bugfixes in naher Zukunft - das ist etwas Positives. Bearbeitet von t3mp am 08.06.2014, 09:22
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16839	08.06.2014 - 12:17 Zitat von t3mp Jetzt lass einmal die Kirche im Dorf. Eine weitere Sicherheitslücke != "nur Sicherheitslücken". "Vom selben Typen reviewt"? Nichts Überraschendes bei gerade einmal einem Hauptentwickler. Dass ein Programmierer seine Fehler wiederholt, wenn ihn niemand darauf hinweist, ist irgendwo auch klar. Alles in allem sind das Symptome eines Projekts, bei dem die Zahl der Konsumenten in keinem Verhältnis zur Unterstützung stand, und daran wird ja zum Glück nun gearbeitet. Gewöhn dich also an einen Anstieg an Security Bugfixes in naher Zukunft - das ist etwas Positives. Ack
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4095	12.07.2014 - 12:21 Libressl 2.0.0 ist draussen, läuft jetzt auch auf anderen os'en als openBSD. https://marc.info/?l=openbsd-tech&a...1304119&w=2

OpenSSL is broken - Heartbleed Bug

Forum Index > Digital Life > Internet & Provider

spunz

COLOSSUS

sk/\r

smashIt

Smut

smashIt

Lukas

Nico

matiss

wergor

Cuero

UnleashThebeast

t3mp

Smut

wergor