|
|
|
|
| Zitat von teK
<ioerror> I don't understand how #heartbleed was "responsibly" disclosed: OpenSSL's own webserver is still vulnerable, right now. Coordinated? Perhaps
| |
Kommunizierst du nur noch über Zitate, oder täuscht der Eindruck?
|
|
|
|
|
|
|
|
|
|
|
| Zitat von teK
Bei FritzBoxen scheint das default aus zu sein. Wieso sollte der Techniker das anschalten? Die Konfiguration wird aus der Ferne gepusht aber nicht über HTTP(S).
| |
Naja, oder sie sich das selbst klicken, wenn der Techniker wieder nur auf dem Sprung war. Was ich meine ist: Es ist möglich und wird angeboten. Es ist doch Weltfremd anzunehmen, dass sich der Ottonormalverbraucher dann noch weitere Gedanken darüber macht, geschweige denn, dass er überhaupt die Kompetenz dazu hat. Und deshalb wird das auch genau so genutzt.
|
|
|
|
|
|
|
Ein Bruchteil der User findet ohne Anleitung überhaupt auf den Router. Und zu realisieren, dass, wenn ich mit User/Passwort von außen auf das Webinterface kann, das auch andere können, ist jetzt kein Geniestreich.
Das einzige Szenario, in dem das wirklich nennenswert weit verbreitet umgestellt würde, wäre für mich ein Beitrag in Computerblöd, Chip usw., um irgendwas Tolles (was denn?) einzurichten.
So bleibt das aber graue Theorie, man könnte da Mal mit Shodan spielen, um belastbare Zahlen zu kriegen.
|
|
|
|
|
|
|
|
|
|
|
| Zitat von theromi
| Zitat von Phillinger
Wie ist das eigentlich mit den ganzen Router-Kisten? Allen voran Fritz!Box? Kann AVM da grad die nächste Welle raushauen?
| |
Also meine Fritz.Box macht gar kein HTTPS
| |
per default macht sie das nicht, dass ist wohl wahr.
wenn sie es macht oder eine SSL/TLS library nutzt, dann ist es AVMs eigene... da wiederum kann man sich jetzt denken, was man will. ich traue AVM seit ihrer scheisse mit den ISDN karten nicht und durch die erfahrung mit den crashboxen hat sich das leider auch nicht geändert.
|
|
|
|
|
|
|
|
|
|
|
was mir gerade noch so zu der openssl sache da einfällt, mit PFS sollte der ganze part doch nahezu sicher sein, sobald die library patches drin sind?
die wichtigen server dienste hab ich auf genau die algos kastriert, die PFS sprechen, die anderen stehen auf der "don't use" liste.
/e
btw. keine der von euch geposteten checks kommen mit mailservern klar.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Traxer am 08.04.2014 18:14]
|
|
|
|
|
|
|
|
|
|
weitere anmerkung: spassig wirds mit dem update, wenn man mod_spdy nutzt und da auf was bestimmtes angewiesen ist.
|
|
|
|
|
|
|
Oh achja, falls man damit wirklich sämtlichen Speicher ausgelesen bekommt und dein private Key nebst Zertifikat dort war, dann kann jemand so tun, als sei er du. Ups.
|
|
|
|
|
|
|
In other news: Fefe verkackt sein sys update.
|
|
|
|
|
|
|
Diese unglückliche Verkettung von Umständen kennt man aber aus solchen Situationen, oder?
|
|
|
|
|
|
|
Never touch a running system when you haven't touched it the last 3 years
|
|
|
|
|
|
|
Bei allem Chaos, was bei OpenSSL jetzt herrscht, verstehe ich eine Sache am allerwenigsten: Wie kommt man auf die Idee, Heartbeat-Alive-Daten aus dem RAM zu nehmen? Hat da wirklich jemand überlegt, was man als dümmstmögliche Datenquelle nehmen könnte? So gegenüber ... jeder denkbaren konstanten, unkritischen Bytefolge?
Und muss man jetzt damit rechnen, dass z.B. auch mancher SQL-Server den Output von "select * from customer_credit_cards" als alive-Meldung schickt? Oder Mailserver die lokale /etc/shadow?
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Rufus am 09.04.2014 2:19]
|
|
|
|
|
|
Kannst dir an die Wand hängen neben dem goto fail: Das Ding kopiert fröhlich Daten von A[n] nach B[n] um sie zu verschicken, ohne zu prüfen ob was er da aus A kopiert wirklich n lang ist.
|
|
|
|
|
|
|
| Zitat von Rufus
Bei allem Chaos, was bei OpenSSL jetzt herrscht, verstehe ich eine Sache am allerwenigsten: Wie kommt man auf die Idee, Heartbeat-Alive-Daten aus dem RAM zu nehmen? Hat da wirklich jemand überlegt, was man als dümmstmögliche Datenquelle nehmen könnte? So gegenüber ... jeder denkbaren konstanten, unkritischen Bytefolge?
| |
https://tools.ietf.org/html/rfc6520
| the receiver MUST send a corresponding HeartbeatResponse
message carrying an exact copy of the payload of the received
HeartbeatRequest. | |
=> Der Client/Sender gibt die zurückzuschickende Payload vor. Der Bug ist, dass die Länge beim Responder von OpenSSL nicht geprüft wird.
| Zitat von Rufus
Und muss man jetzt damit rechnen, dass z.B. auch mancher SQL-Server den Output von "select * from customer_credit_cards" als alive-Meldung schickt? Oder Mailserver die lokale /etc/shadow?
| |
Wenns im RAM liegt...
|
|
|
|
|
|
|
| Zitat von Traxer
was mir gerade noch so zu der openssl sache da einfällt, mit PFS sollte der ganze part doch nahezu sicher sein, sobald die library patches drin sind?
| |
wenn jemand deinen private key hat kann er dich faken - erfolgreich mitm machen, egal was du unternimmst...
|
|
|
|
|
|
|
| Zitat von RichterSkala
Kannst dir an die Wand hängen neben dem goto fail: Das Ding kopiert fröhlich Daten von A[n] nach B[n] um sie zu verschicken, ohne zu prüfen ob was er da aus A kopiert wirklich n lang ist.
| |
im vergleich hierzu war das goto fail recht harmlos.
nur ging da natürlich mehr wind bei rum, weil man es da ja jemandem hinten reindrücken konnte, so als jemand der keine ahnung hat, wovon er da eigentlich redet.
bei so einem offenen projekt - was erst recht keiner versteht und warum das genutzt wird, wenn es doch alternativen von grossen firmen gibt - kann man das schlecht machen, da man keinen direkten verantwortlichen hat, der unter einem bekannten namen agiert.
warte mal ab, wenn das nächste SSL/TLS dingen MS trifft.
von oracle brauchen wir hier wohl nicht reden in dem kontext.
|
|
|
|
|
|
|
| Zitat von Phillinger
Wie ist das eigentlich mit den ganzen Router-Kisten? Allen voran Fritz!Box? Kann AVM da grad die nächste Welle raushauen?
Oder dd-wrt... Auf dd-wrt.com herrscht irgendwie eisiges Schweigen darüber.
| |
Sauber, dd-wrt war bis gestern auch betroffen.
Hoffentlich gibt es bald neue builds für unsere Modelle. Wenigstens ist da der Zertifikataustausch nicht so teuer, die sind alle selbst signiert.
|
|
|
|
|
|
|
|
|
|
|
| Zitat von Phillinger
| Zitat von Phillinger
Wie ist das eigentlich mit den ganzen Router-Kisten? Allen voran Fritz!Box? Kann AVM da grad die nächste Welle raushauen?
Oder dd-wrt... Auf dd-wrt.com herrscht irgendwie eisiges Schweigen darüber.
| |
Sauber, dd-wrt war bis gestern auch betroffen.
Hoffentlich gibt es bald neue builds für unsere Modelle. Wenigstens ist da der Zertifikataustausch nicht so teuer, die sind alle selbst signiert.
| |
Das gute an der Sache: Jetzt hab ich mal bleeding edge OpenWRT auf meinem Router. Das Web-Interface sieht jetzt erheblich schicker aus.
|
|
|
|
|
|
|
Vielleicht nehme ich das mal zum Anlass, von dd- auf openWRT zu wechseln... Andererseits funktioniert jetzt alles so problemlos - von dem bis jetzt nicht vorhandenen gepatchten Build mal abgesehen.
|
|
|
|
|
|
|
So, neues Wildcard Cert für *.daxbau.net ist installiert und funktioniert. RapidSSL scheint gut zu sein. Revoken geht aber nur per Fax oder dem gescannten Dokument per Mail, neu ausstellen geht direkt online. Kostet mich jetzt 66¤ pro Jahr.
Ich bin zufrieden damit. Natürlich bin ich aber doch angepisst, dass ich meine StartSSL certs nicht einfach so revoken kann
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von audax am 09.04.2014 10:17]
|
|
|
|
|
|
Sonst kommuniziere ich nur über Bilder/Zitate.
| Zitat von YT
Kommunizierst du nur noch über Zitate, oder täuscht der Eindruck?
| |
Jetzt muss ich doch noch fragen: schlimm?
Dass dd-wrt einen Fix einzieht ist nett, aber für die Kisten ohne Remote-Zugang eher wertlos, da es genug andere Angriffe gibt, wenn man schon im selben lokalen Netz ist. Auch impliziert das bei WLAN ja, dass der Angreifer den WPA2(!)-Key kannte usw. für die Ethernetports sieht das natürlich anders aus. Befindet sich jedoch ein Angreifer in meinem Wohnzimmer, habe ich sowieso andere Sorgen als die Sicherheit von TLS.
|
|
|
|
|
|
|
Es ist mehr das OpenVPN auf meinen dd-wrt-Kisten, das mich auf einen freshen Build hoffen lässt.
/e: dass/das... und das mir.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Phillinger am 09.04.2014 11:12]
|
|
|
|
|
|
| Zitat von Traxer
bei so einem offenen projekt - was erst recht keiner versteht und warum das genutzt wird, wenn es doch alternativen von grossen firmen gibt - kann man das schlecht machen, da man keinen direkten verantwortlichen hat, der unter einem bekannten namen agiert.
warte mal ab, wenn das nächste SSL/TLS dingen MS trifft.
von oracle brauchen wir hier wohl nicht reden in dem kontext.
| |
Ich dachte T-Systems ist schuld.
|
|
|
|
|
|
|
| Zitat von RichterSkala
Never touch a running system when you haven't touched it the last 3 years
| |
Das habe ich mir aber auch gedacht, als ich das gelesen habe. Von Anfang an waere frisch installieren die besser Option gewesen und nach jedem Zwischenschritt auch.
Ich bin nicht immer Fefes Meinung und teile nicht jeder seiner Ansichten, in letzter Zeit tue ich mich aber schon schwer seinen politischen Kommentaren noch was abzugewinnen.
|
|
|
|
|
|
|
| Zitat von teK
| Zitat von YT
Kommunizierst du nur noch über Zitate, oder täuscht der Eindruck?
| |
Jetzt muss ich doch noch fragen: schlimm?
| |
Nö, ist mir in letzter Zeit nur aufgefallen - dachte, ich hätte einen neuen Trend verschlafen ....
|
|
|
|
|
|
|
| Zitat von RichterSkala
Ich dachte T-Systems ist schuld.
| |
Zurückrudern nennt sich heutzutage ja auch "Update:".
|
|
|
|
|
|
Thema: 100 gute Gründe für Linux ( v0.30 gute Gründe für systemd ) |