Neue openssl Pakete beheben potentielle Sicherheitslücke

[catdog2]

Heise schreibt auch was dazu:
http://www.heise.de/security/Konsequenz ... ung/107921




//edit:

Code: Alles auswählen

$ ./chksslkey debianforum.de
https key from debianforum.de is weak

[MarkusF]

Heise schreibt auch was dazu:
http://www.heise.de/security/Konsequenz ... ung/107921

Also ganz schlau werd ich daraus aber auch noch nicht. Nur mal zum Verständnis: Auf einem verwundbaren System braucht der brute-forcer noch immer nen ssh-fähigen Usernamen um seine Attacke zu starten? Ein

Code: Alles auswählen

PermitRootLogin=no 

verhindert selbst auf einem weak System zumindest den direkten Rootzugang!?
Grüße, Markus

[feltel]

Ja, aber nach meinem Verständnis reicht die aktuelle Situation bereits aus um Man-in-the-middle-Attacken auszuführen, d.h. wenn Du einen kompromitierten Schlüssel weiter benutzt könnte man den Netzverkehr entschlüsseln und so z.B. an den Usernamen und das Passwort rankommen, das Du zum einloggen benutzt.

[feltel]

//edit:

Code: Alles auswählen

$ ./chksslkey debianforum.de
https key from debianforum.de is weak

Ack. Ist bekannt. Bin am überlegen ob ich übergangsweise erstma das Cert gegen ein Self-signed-Cert austausche, da ich seinerzeit das CACert.org-Cert für debianforum.de nicht erzeugt hab sondern blackm, der die Domain erst aus seinem Account rausnehmen muss ehe ich sie hinzufügen kann. Hab ich deshalb schon angeschrieben.

[C_A]

http://www.securityfocus.com/archive/1/ ... 0/threaded

[KBDCALLS]

Was mich an der Sache etwas beunruhigt , wieso fliegt sowas erst nach rund zwei Jahren auf ? Anscheinend spielen da auch ein paar Animositäten eine Rolle , wenn ich mir so die ersten Sätze der Artikels auf Heise durchlese.

[gms]

Was mich an der Sache etwas beunruhigt , wieso fliegt sowas erst nach rund zwei Jahren auf ? Anscheinend spielen da auch ein paar Animositäten eine Rolle , wenn ich mir so die ersten Sätze der Artikels auf Heise durchlese.

das interpretiere ich nicht als Animositäten, generell sollte im Open Source Bereich immer versucht werden, solche Patches upstream einzupflegen und das ist hier einfach nicht passiert.
Die ganze Aktion ist allerdings auf grobe Kommunikationsprobleme zurückzuführen:
a) Auf der einen Seite ein Debian-Maintainer, der sich in der Mailinglist nicht als solcher zu erkennen gibt und nur fragt, ob die zwei Zeilen wegen besseren Debuggens rausgenommen werden können und die Antwort "if it helps with debugging, I’m in favor of removing them” als Begründung hernimmt, daß er die Zeilen im offiziellen Debianpaket rausnehmen darf. Dieser Maintainer ist sicherlich hauptverantwortlich für dieses Desaster, so holt man keine "Unbedenklichkeitsbestätigung" ein: http://marc.info/?l=openssl-dev&m=114651085826293&w=2
( Wenn er wenigstens den zweiten Vorschlag, “-DPURIFY” zu verwenden, gewählt hätte, wäre nichts passiert und er hätte nicht einmal einen Patch benötigt. Sein eigener Vorschlag entsprechende Valgrind-Hints einzufügen, hätte auch keinen Einfluß auf die Funktionalität von Openssl gehabt )

b) Auf der anderen Seite eine Openssl-Dev Mailingliste, die zwar dem Zweck dienen sollte, auch Anfragen von Maintainern zu beantworten, die aber angeblich wegen der vielen Supportanfragen von Applikationsentwicklern kaum von Upstream-Entwicklern frequentiert wird. Stattdessen haben sich diese in einer eigenen nicht publizierten Mailingliste getroffen. Auch nicht sehr toll, wenn die Entwickler von so einer wichtigen Library für die Maintainer nicht erreichbar sind.

Gruß
gms

[MarkusF]

Nachtrag:
http://www.heise.de/newsticker/OpenSSL- ... ung/108005

[goeb]

Nochn Nachtrag: http://xkcd.com/424/