Horror-Bug in OpenSSL

[Arithmos]

Wann habt Ihr zuletzt Eure Server upgedated? Jetzt wäre ein guter Zeitpunkt:

Das Problem:
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise online

Der Check:
SSL-Gau: So testen Sie Programme und Online-Dienste | heise online

Und:
Wenn*ich*das*richtig*sehe.... | Der*GAU*für*Verschlüsselung*im*Web:*Horr... | heise security news-Foren

Auch Router können betroffen sein. Mailkonten ebenso. Handy und Smartphones auch. Und natürlich der eigene PC, das Tablet, der Rauchmelder, die Heizung und der Kühlschrank - wenn sie schon "smart" sind.

Dieses Problem ist also um viele Größenodnungen schwerwiegender, als die kürzlich durch die Medien gegangenen 18 Mio. Zugangsdaten. Seltsamer Weise hört man in der allgemeinen Presse bislang davon noch (?) nichts.

 

[Wettermann]

Seltsamer Weise hört man in der allgemeinen Presse bislang davon noch (?) nichts.

Vermutlich weil jeder versteht, was eine Emailadresse ist und dass jemand anderes das Passwort kennt.

Dieses Thema jedoch lässt sich nur schwer in kurzen Printartikeln schreiben.

 

[sre]

Mit einem reinen Server-Update ist es leider nicht alleine getan.
Der Private Key des Servers muß auf Grund des Fehlers als bereits ausgelesen/kompromittiert betrachtet werden.

Somit muß auf dem Server nach dem Update auch der Private Key neu erstellt werden.
Damit können dann die neuen CSR(s) erstellt werden, um beim Provider eures Vertrauens damit die SSL-Zertifikate austauschen zu lassen. Zum Schluß muß das jew. alte Zertifikat auf dem Server gegen das Neue getauscht werden.

Restart des Apache/Webservers nach dem Update nicht vergessen!

 

[FrancisBlack]

628 Server der 10.000 meistbesuchten Webseiten betroffen

"Nach und nach wird klar, welcher Schaden bereits durch die fatale Sicherheitslücke in dem Krypto-Framework OpenSSL entstanden ist oder noch entstehen wird. Bei einer Überprüfung der laut Alexa 10.000 meistbesuchten Websites erlaubten 628 Server intime Einblicke in ihren Arbeitsspeicher. Darunter befinden sich allerhand prominente Namen wie etwa die HypoVereinsbank, Yahoo, Flickr, Kaspersky, der Zahlungsabwickler AfterBuy, Yahoo, Sparkasse.at, BitTorrent sowie viele mehr.

Grundsätzlich muss man alle vertraulichen Daten, die über die Server gelaufen sind, als kompromittiert betrachten. Ein Angreifer bekommt die sensiblen Daten dabei auf dem Silbertablett serviert, da er ausgerechnet Einblick in den Speicherbereich von OpenSSL erhält. In dem durch die Lücke abrufbaren Bereich des Speichers können sich nicht nur Klartext-Zugangsdaten befinden, sondern auch Sitzungs-IDs und sogar die privaten Schlüssel, die die Server zur Verschlüsselung des SSL-Traffic benutzen. Ein Angreifer, der in der Vergangenheit bereits verschlüsselten Datenverkehr aufgezeichnet hat, kann ihn damit nachträglich entschlüsseln (sofern der Server-Betreiber nicht Perfect Forward Secrecy aktiviert hat)."

Hier die Listen:
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt
https://github.com/musalbas/heartbleed-masstest

Z.B. bei web.de, flickr, indiegogo, skrill, afterbuy & yahoo.com vorsichtshalber mal das PW ändern?

Habe auf Heartbleed OpenSSL extension testing tool, CVE-2014-0160 dann spasseshalber mal autodns.com getestet...:
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.
&
Checking your certificate
Certificate is valid before 0day. <-- Your stuff may be compromised. Consider changing the certificate and passwords.
:hmmmm:

Wer weitere (für uns evtl.) relevante Sites als vulnerable ausmacht möge sie bitte hier posten.

 

[Arithmos]

vorsichtshalber mal das PW ändern?

Damit das wirklich was bringt, müssten erst mal folgende Punkte abgearbeitet sein:

- Lücke gepacht bei Anbieter
- Lücke gepacht auf dem eigenen Device
- Anbieter muss neue Schlüssel erstellt haben
- Anbieter muss neues Zertifikat haben
- und natürlich muss zuvor auch der Zertifikateanbieter das alles erledigt haben. Bei Verisign z.B. gab es den Fehler schließlich auch. Also im Prinzip müssten sämtliche SSL-Zertifikate auf der ganzen Welt als kompromittiert betrachtet und daher für ungültig erklärt und ersetzt werden.

 

[MaGisCh]

Heartbleed SSL-Sicherheitslücke: Jetzt Passwörter ändern - SPIEGEL ONLINE

 

[FrancisBlack]

Damit das wirklich was bringt, müssten erst mal folgende Punkte abgearbeitet sein:

- Lücke gepacht bei Anbieter
- Lücke gepacht auf dem eigenen Device
- Anbieter muss neue Schlüssel erstellt haben
- Anbieter muss neues Zertifikat haben
- und natürlich muss zuvor auch der Zertifikateanbieter das alles erledigt haben. Bei Verisign z.B. gab es den Fehler schließlich auch. Also im Prinzip müssten sämtliche SSL-Zertifikate auf der ganzen Welt als kompromittiert betrachtet und daher für ungültig erklärt und ersetzt werden.

Na klasse...wie handhabt Ihr das?

Heartbleed: Yahoo und Web.de raten zum Passwortwechsel | heise online
Passwörter in Gefahr - was nun? | heise Security

http://blog.fefe.de/?ts=adba343f :dontknow:

 

[FrancisBlack]

HeartblugBugTestAddons für FF&Chrome

FF
https://addons.mozilla.org/de/firefox/addon/foxbleed/
Chrome
https://chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic

 

[Freddy]

heute morgen gehört dass ein deutscher Programmierer dafür verantwortlich sein soll. der ärmste!

 

[FrancisBlack]

heute morgen gehört dass ein deutscher Programmierer dafür verantwortlich sein soll. der ärmste!

Kannste auch hier nachlesen...:

Fefes Blog :dontknow:

 

[Wettermann]

Hier wird ganz brauchbar erklärt worum es geht, welche Auswirkungen es hat und was jeder tun sollte:
Video: Robin Cumpl, Internet-Fachjournalist, zur Sicherheitslücke bei SSL | tagesschau.de

 

[4ndy]

Mein Host (all-inkl.com) hat mich gerade per E-Mail informiert, dass dieser "Bug" bereits seit 2 Jahren existiert. Ist wohl erst vor wenigen Tagen rausgekommen.

Hätte man also seine Passwörter schon vor rund 2 Jahren erneuern müssen.

Gruß
Andy