heartbleed

Biotop für Pinguine
Antworten
Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

heartbleed

Beitrag von guhl » 10.04.2014, 21:52

juhuuuu! update-time!

dumm nur, dass wir stunnel bei kundenrechnern updaten müssen. grmbl.
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 10.04.2014, 22:05

Bei uns auch alle Server, hab das zum Glueck ganz frueh mitbekommen,war noch warm.
Das erste Debianupate hat uebrigens nix gebracht, erst das zweite ein paar Stunden spaeter loeste das Problem.
Mittlerweile gibt's auch ein funktionsfaehiges Metaspl*itmodul, wer jetzt nicht gepatcht hat, hat endgueltig verloren.
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

Re: heartbleed

Beitrag von guhl » 11.04.2014, 08:43

https://mobile.twitter.com/br3t/status/ ... 1114291201

bring mal ne horde von daus dazu, auf ihren rechnern einen dienst zu aktualisieren. waaaaah.
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 11.04.2014, 09:57

War noch warm gilt nicht mehr, siehe: http://www.heise.de/security/meldung/Sp ... eitrag.rdf

Muss doch die Zertifikate neu machen, Scheisse - ist Arbeit und kostet Geld. :think:
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Benutzeravatar
matti_in
Labertasche
Beiträge: 9106
Registriert: 26.03.2006, 23:07
Wohnort: Ingolstadt (home of the illuminati)
Kontaktdaten:

Re: heartbleed

Beitrag von matti_in » 11.04.2014, 14:59

Bild

So verstehe es sogar ich
Klopapier ohne Blümchen ist wie ein Bett ohne Kuschelkissen

Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

Re: heartbleed

Beitrag von guhl » 11.04.2014, 15:13

genau so funktioniert it auch. würdest du dich endlich mal drauf einlassen, wärst du auch kein dau mehr.
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 11.04.2014, 17:36

Der Depp, der das verbrochen hat, arbeitet bei....tataaaaa: T-Systems
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 11.04.2014, 20:48

Aha, unser Zertifikatreseller rueckt frische Comodozertifikate fuer umme raus, prima. Also nur Arbeit und keine Kosten.

Ich hab mir mal 20 Seiten angesehen, die Dienstag noch den SSL-Bug hatten, also grosse Seiten und die haben das alle gepatcht - wen wundert's. Erstaunlich ist, dass ich kein einziges neues Zertifikat gefunden habe, die haben alle (!) noch das alte am Start obwohl keiner von denen genau sagen kann, ob nicht der Private Key zum Signieren rausgefischt wurde, irgendwie hart.

Hey, der Private Key hat 256 Byte, der geht locker in den abgefuellten malloc, der da grosszuegig als payload ausgeliefert wurde.
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

Re: heartbleed

Beitrag von guhl » 11.04.2014, 20:56

das erschließt sich mir auch nicht so ganz. da muss wohl erst ne bestandsaufnahme gemacht werden. was haben wir für zertifikate? wo haben wir die her?
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

Re: heartbleed

Beitrag von guhl » 12.04.2014, 08:41

Anstatt lautstark allen Orten nach Änderung der Passwörter zu krähen, könnten die Leit-Hysterie-Medien mal das Konzept der Zwei-Faktor-Authentifizierung breiter bekannt machen.
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 12.04.2014, 09:09

Kostet Geld und ist ja so umstaendlich - es geht eher in Richtung single sign-on und das auch noch gegen eine der Datenkraken wie Guggle, Fackbook...
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

Re: heartbleed

Beitrag von guhl » 12.04.2014, 17:31

Da wird dieser sch eperso eingeführt und dann kann man damit nicht mal seine Steuererklärung signieren.

Hier könnte der Staat doch mal als sso provider auftreten... Besser als facegoogle
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 12.04.2014, 20:03

Will der Staat nicht, da: "Keine Regierung ist so blöd, ihren Bürgern ein abhörsicheres System zur Kommunikation zu bieten." (Linus Neumann)

Geht halt ne Stunde, falls Ihr mal Langeweile habt, grandioser Vortrag
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

Re: heartbleed

Beitrag von guhl » 28.09.2014, 21:17

Bashing bekommt da ja nun eine völlig neue Bedeutung.
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 28.09.2014, 22:26

Ja, hab jetzt zweimal bei 8 Servern ein upgrade gemacht, und da kommt noch was nach, die Sache ist noch nicht gegessen.
Ich bin aber trotzdem froh drum, tolle Sache.
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Benutzeravatar
guhl
Community-Man
Beiträge: 5612
Registriert: 10.10.2007, 13:19
Wohnort: München - unter der Brücke
Kontaktdaten:

Re: heartbleed

Beitrag von guhl » 16.10.2014, 23:36

hach und nu ssl.
Businesskaschper aka "fürn fuffi mach ich alles" (nur wie lange)

Benutzeravatar
helges
Premium Spammer
Beiträge: 3695
Registriert: 03.08.2008, 21:15

Re: heartbleed

Beitrag von helges » 17.10.2014, 18:21

Meine Browser machen alle kein SSL mehr, nur noch TLS,· die Server sind auch gepatcht.
Heartbleed war viel krasser als diese Pudelkagge, der Angriff auf SSLv3 ist auch aufwaendiger als z.B. gerade die Bashluecke.
*- Vielleicht ist das Licht am Ende des Tunnels doch kein entgegenkommender Zug. (C. Meyer)-*

Antworten