bike-sport.com

juhuuuu! update-time!

dumm nur, dass wir stunnel bei kundenrechnern updaten müssen. grmbl.

Bei uns auch alle Server, hab das zum Glueck ganz frueh mitbekommen,war noch warm.
Das erste Debianupate hat uebrigens nix gebracht, erst das zweite ein paar Stunden spaeter loeste das Problem.
Mittlerweile gibt's auch ein funktionsfaehiges Metaspl*itmodul, wer jetzt nicht gepatcht hat, hat endgueltig verloren.

https://mobile.twitter.com/br3t/status/ ... 1114291201

bring mal ne horde von daus dazu, auf ihren rechnern einen dienst zu aktualisieren. waaaaah.

War noch warm gilt nicht mehr, siehe: http://www.heise.de/security/meldung/Sp ... eitrag.rdf

Muss doch die Zertifikate neu machen, Scheisse - ist Arbeit und kostet Geld.

So verstehe es sogar ich

genau so funktioniert it auch. würdest du dich endlich mal drauf einlassen, wärst du auch kein dau mehr.

Der Depp, der das verbrochen hat, arbeitet bei....tataaaaa: T-Systems

Aha, unser Zertifikatreseller rueckt frische Comodozertifikate fuer umme raus, prima. Also nur Arbeit und keine Kosten.

Ich hab mir mal 20 Seiten angesehen, die Dienstag noch den SSL-Bug hatten, also grosse Seiten und die haben das alle gepatcht - wen wundert's. Erstaunlich ist, dass ich kein einziges neues Zertifikat gefunden habe, die haben alle (!) noch das alte am Start obwohl keiner von denen genau sagen kann, ob nicht der Private Key zum Signieren rausgefischt wurde, irgendwie hart.

Hey, der Private Key hat 256 Byte, der geht locker in den abgefuellten malloc, der da grosszuegig als payload ausgeliefert wurde.

das erschließt sich mir auch nicht so ganz. da muss wohl erst ne bestandsaufnahme gemacht werden. was haben wir für zertifikate? wo haben wir die her?

Anstatt lautstark allen Orten nach Änderung der Passwörter zu krähen, könnten die Leit-Hysterie-Medien mal das Konzept der Zwei-Faktor-Authentifizierung breiter bekannt machen.

Kostet Geld und ist ja so umstaendlich - es geht eher in Richtung single sign-on und das auch noch gegen eine der Datenkraken wie Guggle, Fackbook...

Da wird dieser sch eperso eingeführt und dann kann man damit nicht mal seine Steuererklärung signieren.

Hier könnte der Staat doch mal als sso provider auftreten... Besser als facegoogle

Will der Staat nicht, da: "Keine Regierung ist so blöd, ihren Bürgern ein abhörsicheres System zur Kommunikation zu bieten." (Linus Neumann)

Geht halt ne Stunde, falls Ihr mal Langeweile habt, grandioser Vortrag

Bashing bekommt da ja nun eine völlig neue Bedeutung.

Ja, hab jetzt zweimal bei 8 Servern ein upgrade gemacht, und da kommt noch was nach, die Sache ist noch nicht gegessen.
Ich bin aber trotzdem froh drum, tolle Sache.

hach und nu ssl.

Meine Browser machen alle kein SSL mehr, nur noch TLS,· die Server sind auch gepatcht.
Heartbleed war viel krasser als diese Pudelkagge, der Angriff auf SSLv3 ist auch aufwaendiger als z.B. gerade die Bashluecke.