|
|
|
|
|
|
|
Ich glaub, ich hol mir einfach ein Wildcard-Cert von namecheap und gut ist. 
|
|
|
|
|
|
|
|
|
|
Unter bsi.check1337.ru kann man seine Private Keys prüfen lassen, ob man betroffen ist.
Was unser BSI alles kann. Von wegen Neuland.
|
|
|
|
|
|
|
|
|
|
|
|
Ich warte mal lieber, bis namecheap ihre Server gepatcht haben...
|
|
|
|
|
|
|
|
|
|
|
Laut Internet kennt shutdown die Option -f um Filesystem Checks nach dem Reboot zu verhindern. Mein shutdown auf dem Server (Debian 7) als auch auf dem Rechner hier (Xubuntu 13.10) weisen weder unter --help noch in der Manpage diese Option aus? Hidden Feature?
|
|
|
|
|
|
|
|
|
|
|
Sehr schön, der Bug wäre also mit "weniger Ranz standardmäßig aktivieren" weniger fatal gewesen:
| | | Genutzt wird sie nur selten, aber in der Standardeinstellung von aktuellen OpenSSL-Versionen ist die Erweiterung aktiv. | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Gut das wir den ganzen SSL-Mist inzwischen auf den Servern haben, fuer die ich *nicht* mehr zustaendig bin
|
|
|
|
|
|
|
|
|
|
|
Wie kann ich das den schnell von extern sehen/testen?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Danzelot
Weil Heartbeat ja auch so ein sinnloser Müll ist.
| |
Vital scheint es nicht gerade zu sein, wenn 2/3 des Internets ohne TLS Heartbeat auskommen. Man findet auch kaum etwas darüber, abseits des RFC. So wie der klingt, ist das nur ein vereinfachtes keep-alive.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Braucht Python2, oder? Sonst Syntax-Error.
Ich kann zwar kein Python, sehe aber nichts "boeses" im Source. Oder?
|
|
|
|
|
|
|
|
|
|
|
Bis ein Gericht mal festgelegt hat, was "böse" im Sinne von §202c StGB ist, würde ich davon ausgehen, dass du (wenn das jemand durchsetzten würde) mit dem Ding in den Knast kommst 
|
|
|
|
|
|
|
|
|
|
|
Die Sorge wegen MitM-Angriffen ist ja eine Sache, ein Bekannter und ich haben mit dem PoC gerade Speicherbereiche zurückgekriegt, wo Sessioncookies und POST-Daten von Logins im Klartext drinstanden. Ich mache erstmal gar nichts mehr im Internet.
|
|
|
|
|
|
|
|
|
|
|
|
Ich dachte, nur aus dem OpenSSL-Speicherbereich?
|
|
|
|
|
|
|
|
|
|
|
|
Diese Version scheint einem wohl den halben Stack zurückzuschicken.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von theromi
Bis ein Gericht mal festgelegt hat, was "böse" im Sinne von §202c StGB ist, würde ich davon ausgehen, dass du (wenn das jemand durchsetzten würde) mit dem Ding in den Knast kommst
| |
Unsere inkompetenten Politiker. Ich meine natuerlich den fachlichen Quellcode an sich. Die Ausgabe ist soweit ganz unterhaltsam als Wundertuete.
|
|
|
|
|
|
|
|
|
|
|
|
Achso. Nein, der Code schickt deinen Private Key nachher nicht an den Autor
|
|
|
|
|
|
|
|
|
|
|
|
250¤ um meine StartSSL certs zu revoken. Ja scheiß die Wand an.
|
|
|
|
|
|
|
|
|
|
|
|
< xme> If you're hosting a website with #OpenSSL on a #XP machine behind a #DynDNS hostname, it's a bad day for you ;-)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wie ist das eigentlich mit den ganzen Router-Kisten? Allen voran Fritz!Box? Kann AVM da grad die nächste Welle raushauen?
Oder dd-wrt... Auf dd-wrt.com herrscht irgendwie eisiges Schweigen darüber.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von theromi
Achso. Nein, der Code schickt deinen Private Key nachher nicht an den Autor
| |
Meine "Analyse" hat aehnliches ergeben 
| | Zitat von audax
250¤ um meine StartSSL certs zu revoken. Ja scheiß die Wand an.
| |
So aehnliche Gedanken haben wir auch schon. Aber nicht mein Ressort.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 08.04.2014 15:13]
|
|
|
|
|
|
|
|
|
| | Zitat von Phillinger
Wie ist das eigentlich mit den ganzen Router-Kisten? Allen voran Fritz!Box? Kann AVM da grad die nächste Welle raushauen?
| |
Also meine Fritz.Box macht gar kein HTTPS
Dafür:
| | rpi@raspberry-pi:~# python hb-test.py openssl.org
[...]
WARNING: server returned more data than it should - server is vulnerable! | |
/e: Mh, also, rein theoretisch macht das Python-Skript übrigens nicht viele Sanity-Checks. Der Source von der Seite zum überorüfen liegt auch offen.
Ob man sein OpenSSL jetzt wohl so patchen kann, dass es in seiner Response einen Payload an den "Angreifer" schickt und ein Rootkit installiert?
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von theromi am 08.04.2014 15:29]
|
|
|
|
|
|
|
|
|
|
Wieso sollte man das Webinterface Richtung Internet offen haben?
|
|
|
|
|
|
|
|
|
|
|
|
Habe ich nicht. Aber da das Ding auch Anrufbeantworter, SmartHome und vieles mehr ist gibt es sicherlich Leute, für die das Sinn macht.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von teK
Nein. Wenns denn schon von der Ferne aus sein muss (warum auch immer?): ssh -L 1337:localhost:443 u@router und dann auf https://localhost:1337 rumbrowsen.
| |
Ich bin mir sicher, dass $ElternOhneInformatikerkind, die den Scheiss von Unitymedia verkauft bekommen, damit klar kommen. Und das der Techniker von UM das auch so einrichtet.
Pffft.
|
|
|
|
|
|
|
|
|
|
|
|
Bei FritzBoxen scheint das default aus zu sein. Wieso sollte der Techniker das anschalten? Die Konfiguration wird aus der Ferne gepusht aber nicht über HTTP(S).
|
|
|
|
|
|
|
|
| Thema: 100 gute Gründe für Linux ( v0.30 gute Gründe für systemd ) |
