Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSchwere Sicherheitslücke im TLS-Protokoll von OpenSSL
Unabhängig voneinander haben zwei Forscherteams einen sehr schwerwiegender Fehler im TLS-Protokoll von OpenSSL entdeckt. Die Lücke befindet sich in der Erweiterung Heartbeat, die dafür sorgen soll, dass Verbindungen länger aufrecht erhalten werden, ohne dass sie zwischen den Servern neu ausgehandelt werden müssen.
Dann bin ich mal froh, dass unsere Banksysteme noch auf älteren Versionen laufen und ein updaten nur ab und an für vereinzelte Server vorkommt.. Never change a running system :-D
Jein. Es lassen sich je Heartbeat (nach Spezifikation glaube ich max. 1-mal pro Sekunde) maximal 64KBytes auslesen. Und auch nicht beliebige 64KB, sondern die, die sich im RAM genau hinter dem vom Angreifer gesendeten Heartbeat-Request befinden.
Ich müsste also als Angreifer im Prinzip Glück haben, dass das Speicher-Management des Servers mein Paket genau vor einer sensiblen Information platziert.
Ändert nichts an der theoretischen Schwere des Problems, aber in der Praxis ist es vielleicht doch schwieriger als gedacht, den gesamten Arbeitsspeicher auszulesen.
Ich finde das ist schon eine echt arge Lücke das so ziemlich alles in den Schatten stellt.
Wenn sich das auch noch so leicht ausnutzen lässt kann man sicher sein das schon alles was ging ausgelesen wurde.
Für dich als reinen User bleibt kaum etwas zu tun. Spiel Aktualisierungen für Browser, Mailclients,... ein, sobald sie verfügbar sind. Kritisch auf User-Ebene sind:
- alte Browser/OS ohne Support (HEY, WinXP...)
- Router
- SmartTV & Co
- veraltete Androids, die keiner mehr pflegt (also quasi alle, außer Nexus)
Ubuntu 12.04 sowie Debian 7 wurden übrigens bereits gepatcht.
Das zeigt mal wieder das kein Stück Software sicher ist, egal ob Open Source oder nicht. Es wird bestimmt bald ein Patch dafür geben, schwierig wird es nur den auf alle Geräte einzuspielen, man denke an die ganzen alten Androidphones die keine Update vom Hersteller bekommen..
Auf jeden Fall schauen ob du die richtige Openssl benutzt wenn du einen (root) Server betreibst. Je nachdem wie paranoid du bist solltest du den Private Key austauschen, Zertifikate erneut generieren und Passwörter wechseln. Falls der Angreifer an deinen Private Key gekommen ist, kann er nämlich auch im nachhinein aufgezeichneten Traffic entschlüsseln. Wenn du dich also verschlüsselt per HTTPS in deinen Server eingeloggt hast (oder auch per SSH) dann kann er das Passwort entschlüsseln.
Tja, für meine Dreambox wirds leider nix mehr geben. Also heißt es SSH-Zugang zum Heimnetzwerk erstmal abschalten und die alte Debian-FrickelVM hochfahren. Mal schauen ob man sich das neue OpenSSL da zurechtkompilieren kann und ob es dann auch noch mit der restlichen Software auf der Box funktioniert.
EDIT: Synology DSM 5.0 Update 1 hat OpenSSL 1.0.1f, scheint also betroffen zu sein...
EDIT1: QNAP FW 3.8.1 ist nicht betroffen, hat OpenSSL 0.9.7a
EDIT2: QNAP/Fujitsu FW 3.7.3 ist ebenfalls nicht betroffen, hat auch OpenSSL 0.9.7a
Tja, für meine Dreambox wirds leider nix mehr geben. Also heißt es SSH-Zugang zum Heimnetzwerk erstmal abschalten und die alte Debian-FrickelVM hochfahren. Mal schauen ob man sich das neue OpenSSL da zurechtkompilieren kann und ob es dann auch noch mit der restlichen Software auf der Box funktioniert.
Ich würd' erstmal schauen, ob dort überhaupt eine der betroffenen Versionen von OpenSSL (1.0.1 -> 1.0.1f) installiert ist. Per ssh in die Box -> openssl version
Alles andere wäre auch Selbstbetrug. Der Unterschied ist: Stell dir vor, eine solche Lücke würde in Closed Source auftauchen, und der Support-Zeitraum ist rum oder der Hersteller ist patchfaul. Ich denk da nur an MS, die z.B. die schwere RTF-Lücke letztens erst nach mehreren Wochen gefixt haben.
Es gibt ihn bereits. Ich hab ihn vorhin in Debian 7 und Ubuntu 12.04 eingespielt. Bei CentOS 6 bin ich mir noch nicht ganz sicher, ob er bereits im Repo ist.
Rome1981 schrieb:
Android-Phones mit OpenSSL in der "aktuellen" Version? Wieso wage ich es nur daran zu zweifeln?
Nicht viel, weil oftmals recht alte Versionen zum Einsatz kommen, die gar nicht betroffen sind. Oder der Heartbeat war nicht aktiv (z.B. bei SLES), und es existiert deshalb kein Problem.
Viel unfassbarer ist die Tatsache, dass diese "Lücke" mit Absicht implementiert wurde. Zufällig ist das gar nicht möglich.
Es gibt ihn bereits. Ich hab ihn vorhin in Debian 7 und Ubuntu 12.04 eingespielt. Bei CentOS 6 bin ich mir noch nicht ganz sicher, ob er bereits im Repo ist.
