Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenSSL Sicherheitslücke Heartbleed: Schlüssel eines TLS-Servers auslesen

Link Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

08.04.2014, aktualisiert 11:30 Uhr, 3167 Aufrufe, 5 Kommentare, 7 Danke

Eine neue gefährliche OpenSSL-Sicherheitslücke wurde bekannt. Die mit dem Namen "Heartbleed" entdeckte Sicherheitslücke ermöglicht das Auslesen des privaten Schlüssel eines TLS-Servers. Jeder Server, auf dem OpenSSL installiert ist, sollte von einem Administrator dringend überprüft werden!

Korrigierte Pakete für Ubuntu, Debian und Fedora sind bereits verfügbar. Die CVE dazu lautet: CVE-2014-0160

Hier findet ihr einen Online-Check für HTTPS Seiten: http://possible.lv/tools/hb/
Hier findet ihr weitere Informationen zu "Heartbleed" : http://heartbleed.com/

Gruß
Frank

Mitglied: AndiEoh
08.04.2014, aktualisiert um 12:33 Uhr
Zusätzlich sollten alle Server die mit den betroffenen OpenSSL Versionen betrieben wurden neue Private Keys/Zertifikate erhalten, da ein Auslesen des Private Key bereits erfolgt sein kann, ohne das Spuren hinterlassen wurden

Was für ein Desaster!

Gruß

Andi
Bitte warten ..
Mitglied: AndiEoh
08.04.2014 um 17:25 Uhr
Noch ein Punkt der beachtet werden sollte:

Die auf betroffenen Systemen eingesetzten Zertifikate sollten nicht nur entfernt sondern bei der zuständigen CA widerrufen werden. Ansonsten ist es auch später noch möglich das ein MitM Angriff mit dem geleakten Key und dem öffentlich verfügbaren Zertifikat durchgeführt wird, ohne das der Client eine Möglichkeit hat den Betrug zu bemerken. Falls der Client keine OCSP oder CRL Prüfung durchführt hilft das dann allerdings auch nicht mehr...

Es wird wohl endlich Zeit für DANE (http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities)

Gruß

Andi
Bitte warten ..
Mitglied: C.R.S.
08.04.2014, aktualisiert um 20:46 Uhr
Wer lieber offline testet: https://gist.github.com/takeshixx/10107280
Bitte warten ..
Mitglied: sk-it83
09.04.2014 um 14:42 Uhr
Hier ein etwas umfangreicherer Check:

https://www.ssllabs.com/ssltest/

Ergebis für meine owncloud Installation A-
Bitte warten ..
Mitglied: aqui
10.04.2014 um 15:15 Uhr
Wie im anderen Post schon geschrieben sind wir hier sauber...

root@raspi:/home/pi# python hb-test.py www.administrator.de
Connecting...
Sending Client Hello...
Waiting for Server Hello...
... received message: type = 22, ver = 0302, length = 58
... received message: type = 22, ver = 0302, length = 3242
... received message: type = 22, ver = 0302, length = 4
Sending heartbeat request...
Unexpected EOF receiving record header - server closed connection
No heartbeat response received, server likely not vulnerable

und
root@raspi:/home/pi# ./check-ssl.pl www.administrator.de:https
...ssl received type=22 ver=0x302 ht=0x2 size=54
...ssl received type=22 ver=0x302 ht=0xb size=3238
...ssl received type=22 ver=0x302 ht=0xe size=0
...send heartbeat#1
no reply - probably not vulnerable


Die entsprechenden Python und Perl Scripte zum Test gibt es frei zum Download.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Systemdateien
gelöst Registry-Schlüssel per Batch auslesen und in Datei schreiben (9)

Frage von Philzip zum Thema Windows Systemdateien ...

Batch & Shell
Eventlog Druckjobs mit VBS auslesen (2)

Frage von joni2000de zum Thema Batch & Shell ...

Batch & Shell
gelöst Appx aus Image auslesen und entfernen (9)

Frage von Markus2016 zum Thema Batch & Shell ...

Windows Netzwerk
gelöst Probleme beim Erkennen eines identischen Servers (5)

Frage von DonDento zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...