heartbleed

Beitrag von **guhl** » 10.04.2014, 21:52

juhuuuu! update-time!

dumm nur, dass wir stunnel bei kundenrechnern updaten müssen. grmbl.

Beitrag von **helges** » 10.04.2014, 22:05

Bei uns auch alle Server, hab das zum Glueck ganz frueh mitbekommen,war noch warm.
Das erste Debianupate hat uebrigens nix gebracht, erst das zweite ein paar Stunden spaeter loeste das Problem.
Mittlerweile gibt's auch ein funktionsfaehiges Metaspl*itmodul, wer jetzt nicht gepatcht hat, hat endgueltig verloren.

Beitrag von **guhl** » 11.04.2014, 08:43

https://mobile.twitter.com/br3t/status/ ... 1114291201

bring mal ne horde von daus dazu, auf ihren rechnern einen dienst zu aktualisieren. waaaaah.

Beitrag von **helges** » 11.04.2014, 09:57

War noch warm gilt nicht mehr, siehe: http://www.heise.de/security/meldung/Sp ... eitrag.rdf

Muss doch die Zertifikate neu machen, Scheisse - ist Arbeit und kostet Geld.

Beitrag von **matti_in** » 11.04.2014, 14:59

So verstehe es sogar ich

Beitrag von **guhl** » 11.04.2014, 15:13

genau so funktioniert it auch. würdest du dich endlich mal drauf einlassen, wärst du auch kein dau mehr.

Beitrag von **helges** » 11.04.2014, 17:36

Der Depp, der das verbrochen hat, arbeitet bei....tataaaaa: T-Systems

Beitrag von **helges** » 11.04.2014, 20:48

Aha, unser Zertifikatreseller rueckt frische Comodozertifikate fuer umme raus, prima. Also nur Arbeit und keine Kosten.

Ich hab mir mal 20 Seiten angesehen, die Dienstag noch den SSL-Bug hatten, also grosse Seiten und die haben das alle gepatcht - wen wundert's. Erstaunlich ist, dass ich kein einziges neues Zertifikat gefunden habe, die haben alle (!) noch das alte am Start obwohl keiner von denen genau sagen kann, ob nicht der Private Key zum Signieren rausgefischt wurde, irgendwie hart.

Hey, der Private Key hat 256 Byte, der geht locker in den abgefuellten malloc, der da grosszuegig als payload ausgeliefert wurde.

Beitrag von **guhl** » 11.04.2014, 20:56

das erschließt sich mir auch nicht so ganz. da muss wohl erst ne bestandsaufnahme gemacht werden. was haben wir für zertifikate? wo haben wir die her?

Beitrag von **guhl** » 12.04.2014, 08:41

Anstatt lautstark allen Orten nach Änderung der Passwörter zu krähen, könnten die Leit-Hysterie-Medien mal das Konzept der Zwei-Faktor-Authentifizierung breiter bekannt machen.

Beitrag von **helges** » 12.04.2014, 09:09

Kostet Geld und ist ja so umstaendlich - es geht eher in Richtung single sign-on und das auch noch gegen eine der Datenkraken wie Guggle, Fackbook...

Beitrag von **guhl** » 12.04.2014, 17:31

Da wird dieser sch eperso eingeführt und dann kann man damit nicht mal seine Steuererklärung signieren.

Hier könnte der Staat doch mal als sso provider auftreten... Besser als facegoogle

Beitrag von **helges** » 12.04.2014, 20:03

Will der Staat nicht, da: "Keine Regierung ist so blöd, ihren Bürgern ein abhörsicheres System zur Kommunikation zu bieten." (Linus Neumann)

Geht halt ne Stunde, falls Ihr mal Langeweile habt, grandioser Vortrag

Beitrag von **guhl** » 28.09.2014, 21:17

Bashing bekommt da ja nun eine völlig neue Bedeutung.

Beitrag von **helges** » 28.09.2014, 22:26

Ja, hab jetzt zweimal bei 8 Servern ein upgrade gemacht, und da kommt noch was nach, die Sache ist noch nicht gegessen.
Ich bin aber trotzdem froh drum, tolle Sache.

Beitrag von **guhl** » 16.10.2014, 23:36

hach und nu ssl.

Beitrag von **helges** » 17.10.2014, 18:21

Meine Browser machen alle kein SSL mehr, nur noch TLS,· die Server sind auch gepatcht.
Heartbleed war viel krasser als diese Pudelkagge, der Angriff auf SSLv3 ist auch aufwaendiger als z.B. gerade die Bashluecke.

bike-sport.com

heartbleed

heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed

Re: heartbleed