OpenSSL-Fehler: Heartbleed

    Das nimmt wohl weitere Kreise an als gedacht. Debian hat mir nun schon drei Sciherheitswarnungen geschickt, die letzte in etwa mit dem Wortlaut "Alle Systeme sind als kompromittiert anzusehen und zumindest alle Passwörter, öffentliche und private Schlüssel sowie alle hinterlegten Zertifikate umgehend durch neue zu ersetzen."

    Selbst VeriSign war von der Lücke betroffen.

    *** Link veraltet ***
    *** Link veraltet ***

    Das SEO-NW ist auch anfällig:

    Zitat

    https://beispiel.rocks/beispiel.rocks/www.seo-nw.de%22 IS VULNERABLE.

    Zitat


    Looking for TLS extensions on https://beispiel.rocks/seo-nw.de ext 65281 (renegotiation info, length=1) ext 00035 (session ticket, length=0) ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Server is vulnerable, please upgrade software ASAP.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Ja, so in etwa dachte ich mir das auch. Es hat ja eigentlich alle erwischt. Erst wird groß der Wind gemacht und umgestellt und nun das. web.de, gmx, t-online, alle sind betroffen bzw. gewesen.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Find ich aber wieder mal passend, daß der Typ, der das gecodet hat, jetzt bei T-Systems arbeitet.:pfeif:
    Die holen sich halt nur echte Profis ins Boot.

    Wer zuerst "Datenschutz" sagt, hat verloren.

    Alex: auch einen neuen PKey für das Zertifikat besorgt? (Globalsign bietet glaube ich auch free Re-Issues) - das Problem scheint ja zu sein, dass mögliche Angriffe nicht nachvollziehbar sind und daher alle Keys (und eventuell weitere sicherheitstechnisch relevante Daten auf dem Server) als kompromittiert gelten müssen. :( Viel Arbeit für SysAdmins. Sehr viel Arbeit.

    Krasse Kacke!
    Da codet also einer ein Dingens, das fließt in eine sicherheitsrelevante Umgebung ein und keiner kommt irgendwann auf den Gedanken das man den Code mal auditieren sollte? Ist das wirklich so einfach Schrott zu implementieren?
    Ich meine... das ist ja keine gratis Handy-App zum spielen sondern OpenSSL.

    Wer zuerst "Datenschutz" sagt, hat verloren.

    Jo, heise wird nun auch etwas deutlicher. Vorher hörte sich das ja noch einigermaßen "human" an, entgegnen so einiger anderer Meldungen.

    *** Link veraltet ***

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Was genau ist denn da jetzt passiert?

    Wenn Du Dich mit einer Internetseite oder einem Service wie z.B. Webmail verbunden hast
    und dabei eine verschlüsselte Verbindung benutzt hast (SSL) und der dabei benutzte Server
    Open-SSL nutzte, dann hat Deinem Browser, dieser Server ein Zertifikat vorgelegt anhand
    dessen Dein Browser geprüft hat ob dieses Zertifikat gültig und vertrauenswürdig war.

    Damit das nicht dauernd immer hin und her geprüft werden musste gab / gibt es eine
    Erweiterung für dieses Verfahren genannt Heartbeat. Dabei kann derjenige (Browser) der
    die Verbindung aufbaut der Gegenseite mitteilen das er das ganze puffern möchte.

    Und genau hier war der Fehler. Bei dieser Mitteilung / Anforderung wird ein Speicherbereich
    des Senders (Server) benutzt um das durchzuführen. Dieser Speicherbereich war aufgrund
    eines Fehlers nicht begrenzt und ermöglichte es Jedermann einen grösseren Speicherbereich
    des Servers zu lesen. Und hier fanden sich Daten, Passwörter und Benutzernamen anderer Nutzer.

    Wenn Du also z.B, bei einem betroffenen Anbieter eingeloggt warst und gleichzeitig ein Böser
    den Fehler ausnutzte konnte er Deine Daten mitlesen.

    Du musst im Prinzip davon ausgehen, dass alle Deine Geheimnisse während dieser Verbindung
    in der Vergangenheit mitgelesen wurden ....

    Kann ... muss aber nicht ...

    Besser alle Passwörter ändern und den Anbieter solange meiden bis das repariert ist.
    Und nicht wundern, wenn andere Dinge über Dich wissen die Du vertraulich kommuniziert hast.

    Ich hoffe ich konnte Euch den Tag versauen ;)

    Sie dürfen nicht alles glauben was sie denken!

    (Heinz Ehrhardt)

    Ist aber schon erstaunlich, was das für Kreise zieht. Alle Dienste von Google waren betroffen (nur nicht die Suche), Android 4.1 ist betroffen, zahlreiche Banken. Und so wie es scheint, wurde diese Lücke ja schon über mehrere Monate ausgenutzt: Verdacht - von einem Geheimdienst.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    hihi, erst dachte ich Cura hätte das mit dem Geheimdienst geschrieben, ist aber ne Verwechslung.
    Mal zum Thema Geheimdienste und SSL.
    Ich bin sehr sicher das die meisten grossen Geheimdienste SSL schon lange in der Tasche haben. Da es eine Mutmaßung ist, werde ich nicht schreiben wen ich da im Verdacht habe.
    Das kann jeder für sich entscheiden. Mir geht es mehr um die Script Kiddis und HearthBleed ist wirklich ein Supergau

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Ja, ich sah das aus eines anderen Sichtweise. Gut, dass die Geheimdienste da so überall ihre Finger drinnen haben, da bin ich mir auch sicher. Aber das ist ein anderer Punkt, denn die haben in aller Regel dann "Zugänge", die ein anderer nicht hat. Aber wenn die wirklich diesen Fehler schon kannten und benutzt haben, dann finde ich das mehr als unverschämt. Da fehlen mir eigentlich die Worte.

    Das bedeutet also, dass die von der Sicherheitslücke, die weltweit vorhanden ist und von jedem missbraucht werden kann, schon wussten und dennoch niemanden gewarnt haben. Die haben alle ins offene Messer rennen lassen. Klar, sie haben die ja selbst auch benutzt, aber das geht definitiv zu weit. Gibts für so was nicht einen Begriff? "Unterlassene Hilfeleistung" ist es ja nicht, aber es geht schon in die Richtung. Das ist ja fast so, als ob die von einer Bombe wissen, das ganze beobachten, keinen informieren und die einfach hochgehen lassen.

    Ist ja nun eigentlich auch so, dass so ein Geheimdienst im Sinne des eigenen Landes arbeitet, egal was er tut. Aber in diesem Fall, bei dieser Lücke, haben die auch die eigenen Bürger ans Messer geliefert!

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Codes knacken ist rechenintensiv. Meine Vermutung ist das es so gewollt war und irgendwelche Kräfte ausgesperrt werden sollten. ( nachträglich ) Du kannst dir sicher sein, dass ssl immer noch für manche Organisationen zugänglich ist. Bin ja paranoid ;)

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Debian hat gestern Nacht das nächste Update wegen 2 bzw. drei Lücken hinter hergeschoben .... Dann müsste Ubuntu jetzt ja auch wieder eines haben ....
    *** Link veraltet ***
    So langsam nervt es, da kommt man ja zu nichts anderem mehr :(

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Bä... Genau den Spruch hat neulich einer in so einer Talkshow losgelassen (weiß nicht mehr, was das für eine war). Der Gegenüber meinte dann nur so in der Art. Stimmt, so kann man das sehen: "Geben Sie mir doch bitte Ihre Kreditkartennummer und Passwort oder die Zugangsdaten zu Ihrem Amazon-Account". Wenn Sie nichts zu verbergen haben ist das ja kein Problem.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(