tillmo
Anmeldungsdatum: 3. Dezember 2006
Beiträge: 785
Wohnort: Bremen
|
Hallo, schon von diesem ziemlich schweren Bug gehört?
http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html und
http://security.stackexchange.com/questions/55076/what-should-a-website-operator-do-about-the-heartbleed-openssl-exploit Offenbar sind alle möglichen Server jetzt gefährdet. Hier ist ein Tool, um rauszufinden, ob ein Server betroffen ist: https://github.com/FiloSottile/Heartbleed .
Allerdings muss man dafür Go 1.2.x installieren, und das gibt es in den Standard-Quellen nicht... Aber: Sehe ich das richtig, das Server, die automatisch ein tägliches Security-Update machen, nicht betroffen sind? (vgl. http://www.ubuntu.com/usn/usn-2165-1/ ) Gruß Till
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4015
|
Manche Anwendungen bringen ihre eigenen (veralteten) Opensslbibliotheken mit, hier wird noch bisschen erklärt: http://www.heise.de/newsticker/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html Immerhin soll Openssh nicht betroffen sein.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
tillmo schrieb: Offenbar sind alle möglichen Server jetzt gefährdet.
Viele, ja.
Hier ist ein Tool, um rauszufinden, ob ein Server betroffen ist: https://github.com/FiloSottile/Heartbleed .
Allerdings muss man dafür Go 1.2.x installieren, und das gibt es in den Standard-Quellen nicht...
Man könnte natürlich auch einfach auf die Version des installierten OpenSSL schauen. Viele Distributionen geben zu diesem Zweck Security Advisories aus, die ein verantwortungsbewusster Administrator natürlich verfolgt.
Aber: Sehe ich das richtig, das Server, die automatisch ein tägliches Security-Update machen, nicht betroffen sind? (vgl. http://www.ubuntu.com/usn/usn-2165-1/ )
Ich glaube da verkennst du das Problem ein wenig. Die Sicherheitslücke besteht seit März 2012 in finalen Versionen von OpenSSL. Der Bug hat es erlaubt, beliebige Daten von Servern aus dem Speicher zu lesen. Unter anderem solche Dinge wie:
Der Bug wurde zwar jetzt gefunden und beseitigt, aber er war lange genug auf Produktivsystemen aktiv, um theoretisch ausgenutzt worden zu sein. Von Angreifern, die die Schwachstelle nicht veröffentlicht haben. Besonders fies ist, dass der Angriff darauf keine Spuren hinterlässt. Deshalb kann man nicht davon ausgehen, dass das SSL-Zertifikat noch sicher ist und sollte dieses tauschen. Nicht zu vergessen, dass einige Dienste auch neu gestartet werden müssen, damit die neu installierten Pakete aktiv werden … ~jug
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4015
|
Genau, wenn die verschlüsselten Daten mitgeschnitten wurden (Stichwort NSA) und die SSL-Keys, Logindaten erfasst wurden, lässt sich vieles auch im Nachhinein noch auswerten, da entschlüsselbar. Hier habe ich paar bekanntere Domains eingegeben und bisher noch keine betroffene gefunden: http://filippo.io/Heartbleed ☺
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
jug schrieb: Ich glaube da verkennst du das Problem ein wenig. Die Sicherheitslücke besteht seit März 2012 in finalen Versionen von OpenSSL. Der Bug hat es erlaubt, beliebige Daten von Servern aus dem Speicher zu lesen. Unter anderem solche Dinge wie:
Naja, das ist aber falsch dargestellt worden. Da nicht direkt schadhafter Code zur Ausführung kam sondern lediglich fehlerhafte Routinen ausgenutzt wurden, betrifft es auch nur den Speicher des Prozesses der die fehlerhaften Bibliotheken beinhaltet. Parallel arbeitende Programme (selbst des gleichen Accounts) sind nicht betroffen.
|
duesentriebchen
Anmeldungsdatum: 10. Februar 2012
Beiträge: 713
Wohnort: Im Inntal
|
Hallo community 😀 Sind eigentlich ssl Zertifikate für Webserver auch betroffen, da die csr ja mit openssl keys generiert werden 👿
|
Barlow
Anmeldungsdatum: 2. Juni 2010
Beiträge: 43
Wohnort: Fürth (Bay)
|
Hallo zusammen. Was muss ich denn tun um ein neues Zertifikat auszustellen? Ich habe einen Artikel im Wiki dazu gefunden ssl-cert Der Befehl wird ausgeführt. Ich hätte jetzt nach einem Neustart erwartet, dass ich bei der nächsten SSH Verbindung das neue Zertifikat betätigen muss. Ist aber nicht der Fall.
|
xabbuh
Anmeldungsdatum: 25. Mai 2006
Beiträge: 6411
|
Dein SSH-Server hat mit dem SSL-Zertifikat doch gar nichts zu tun?!
|
Barlow
Anmeldungsdatum: 2. Juni 2010
Beiträge: 43
Wohnort: Fürth (Bay)
|
Nein? Aber der stellt doch auch ein Zertifikat aus, oder nicht?
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Barlow schrieb: Nein? Aber der stellt doch auch ein Zertifikat aus, oder nicht?
Ja, und für die Krypto wird da auch OpenSSL verwendet. Also beim Erstellen von Schlüsseln oder beim Verschlüsseln der Daten greift OpenSSH auf Funktionen von OpenSSL zurück. Der Bug bestand aber in den TLS-Funktionen von OpenSSL. Er war also nicht in der Behandlung der Kryptografie und dem Umgang mit den Schlüsseln, sondern irgendwo™ (bin auch kein absoluter Experte) da wo TLS (aka https)-Verbindungen verwaltet werden. SSH ist deshalb nicht gefährdet, weil es kein TLS macht und ein eigenes Protokoll implementiert. chilidude schrieb: Naja, das ist aber falsch dargestellt worden. Da nicht direkt schadhafter Code zur Ausführung kam sondern lediglich fehlerhafte Routinen ausgenutzt wurden, betrifft es auch nur den Speicher des Prozesses der die fehlerhaften Bibliotheken beinhaltet. Parallel arbeitende Programme (selbst des gleichen Accounts) sind nicht betroffen.
Ok, stimmt. Aber dieser Speicher, den OpenSSL da belegt, der hat es dann halt auch in sich. Also halt das SSL-Zertifikat vom Server, Private Key und Sitzungs-Schlüssel der verbundenen Clients, unter Umständen dann auch Klartext HTTP (Cookies, GET/POST) … ~jug
|
marc51109
Anmeldungsdatum: 16. Oktober 2011
Beiträge: Zähle...
Wohnort: Köln
|
Hallo zusammen, da UbuntuOne ja demnächst seinen Dienst einstellt, hatte ich mir vor ein paar Tagen ownCloud auf meinem Cubieboard eingerichtet.
Als Betriebssystem nutze ich den Linaro Ubuntu Server 13.01 (basierend auf Ubuntu Server 13.04). Als meine Daten endlich alle aufgespielt waren, erreichte mich die Meldung über den Heartbleed-Bug. Die Aktualisierung von openssl über "sudo apt-get upgrade openssl" bewirkt bei mir leider kein Upgrade der Versionsnummer.
Das mag daran liegen, dass bei Linaro Ubuntu für openssl "1.0.1c-3ubuntu2.5~linaro2" verwendet wird. root@localhost:~# apt-get upgrade openssl
Reading package lists... Done
Building dependency tree
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
root@localhost:~# openssl version -a
OpenSSL 1.0.1c 10 May 2012
built on: Wed Apr 24 11:25:11 UTC 2013
platform: debian-armhf
options: bn(64,32) rc4(ptr,char) des(idx,cisc,16,long) blowfish(ptr)
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DAES_ASM -DBSAES_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
root@localhost:~# openssl version -b
built on: Wed Apr 24 11:25:11 UTC 2013
root@localhost:~# dpkg -l | grep "openssl"
ii openssl 1.0.1c-3ubuntu2.5~linaro2 armhf Secure Socket Layer (SSL) binary and related cryptographic tools
root@localhost:~#
Ich habe selbstverständlich vorher ein Update durchgeführt. Hier hat niemand eine Idee, wie ich das behoben bekommen, oder?
Die Chancen, dass Linaro da in absehbarer Zeit reagiert, schätze ich nämlich für sehr gering ein. Danke!
|
WirrLicht
Anmeldungsdatum: 25. Juni 2011
Beiträge: 354
|
kann man eigentlich auch im "normalen" ubuntu die openssl version irgendwie auf die 1.0.1 g aktualisieren? wenn ja, wie? (13.10 ist gemeint)
|
diesch
Anmeldungsdatum: 18. Februar 2009
Beiträge: 5072
Wohnort: Brandenburg an der Havel
|
jug schrieb: Ok, stimmt. Aber dieser Speicher, den OpenSSL da belegt, der hat es dann halt auch in sich. Also halt das SSL-Zertifikat vom Server, Private Key und Sitzungs-Schlüssel der verbundenen Clients, unter Umständen dann auch Klartext HTTP (Cookies, GET/POST) …
Bankverbindungen, Kreditkarten-Nummern, Kunden- und Rechnungsdaten, Passwörter, Webseiten-, Datei- und Mail-Inhalte, ... alles, was per SSL übertragen wird.
|
diesch
Anmeldungsdatum: 18. Februar 2009
Beiträge: 5072
Wohnort: Brandenburg an der Havel
|
WirrLicht schrieb: kann man eigentlich auch im "normalen" ubuntu die openssl version irgendwie auf die 1.0.1 g aktualisieren? wenn ja, wie?
Nur, wenn du selbst kompilierst. Warum willst du das?
|
WirrLicht
Anmeldungsdatum: 25. Juni 2011
Beiträge: 354
|
naja, weil doch die 1.0.1 e die ich habe unsicher ist, oder hab ich was falsch verstanden? dann wäre zumindest von meiner seite der fehler behoben.
|