Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenSSL Sicherheitslücke Heartbleed: Schlüssel eines TLS-Servers auslesen

Link Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

08.04.2014, aktualisiert 11:30 Uhr, 3203 Aufrufe, 5 Kommentare, 7 Danke

Eine neue gefährliche OpenSSL-Sicherheitslücke wurde bekannt. Die mit dem Namen "Heartbleed" entdeckte Sicherheitslücke ermöglicht das Auslesen des privaten Schlüssel eines TLS-Servers. Jeder Server, auf dem OpenSSL installiert ist, sollte von einem Administrator dringend überprüft werden!

Korrigierte Pakete für Ubuntu, Debian und Fedora sind bereits verfügbar. Die CVE dazu lautet: CVE-2014-0160

Hier findet ihr einen Online-Check für HTTPS Seiten: http://possible.lv/tools/hb/
Hier findet ihr weitere Informationen zu "Heartbleed" : http://heartbleed.com/

Gruß
Frank

Mitglied: AndiEoh
08.04.2014, aktualisiert um 12:33 Uhr
Zusätzlich sollten alle Server die mit den betroffenen OpenSSL Versionen betrieben wurden neue Private Keys/Zertifikate erhalten, da ein Auslesen des Private Key bereits erfolgt sein kann, ohne das Spuren hinterlassen wurden

Was für ein Desaster!

Gruß

Andi
Bitte warten ..
Mitglied: AndiEoh
08.04.2014 um 17:25 Uhr
Noch ein Punkt der beachtet werden sollte:

Die auf betroffenen Systemen eingesetzten Zertifikate sollten nicht nur entfernt sondern bei der zuständigen CA widerrufen werden. Ansonsten ist es auch später noch möglich das ein MitM Angriff mit dem geleakten Key und dem öffentlich verfügbaren Zertifikat durchgeführt wird, ohne das der Client eine Möglichkeit hat den Betrug zu bemerken. Falls der Client keine OCSP oder CRL Prüfung durchführt hilft das dann allerdings auch nicht mehr...

Es wird wohl endlich Zeit für DANE (http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities)

Gruß

Andi
Bitte warten ..
Mitglied: C.R.S.
08.04.2014, aktualisiert um 20:46 Uhr
Wer lieber offline testet: https://gist.github.com/takeshixx/10107280
Bitte warten ..
Mitglied: sk-it83
09.04.2014 um 14:42 Uhr
Hier ein etwas umfangreicherer Check:

https://www.ssllabs.com/ssltest/

Ergebis für meine owncloud Installation A-
Bitte warten ..
Mitglied: aqui
10.04.2014 um 15:15 Uhr
Wie im anderen Post schon geschrieben sind wir hier sauber...

root@raspi:/home/pi# python hb-test.py www.administrator.de
Connecting...
Sending Client Hello...
Waiting for Server Hello...
... received message: type = 22, ver = 0302, length = 58
... received message: type = 22, ver = 0302, length = 3242
... received message: type = 22, ver = 0302, length = 4
Sending heartbeat request...
Unexpected EOF receiving record header - server closed connection
No heartbeat response received, server likely not vulnerable

und
root@raspi:/home/pi# ./check-ssl.pl www.administrator.de:https
...ssl received type=22 ver=0x302 ht=0x2 size=54
...ssl received type=22 ver=0x302 ht=0xb size=3238
...ssl received type=22 ver=0x302 ht=0xe size=0
...send heartbeat#1
no reply - probably not vulnerable


Die entsprechenden Python und Perl Scripte zum Test gibt es frei zum Download.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Mit Powershell am AD Controller die aktiven Usersessions auslesen (1)

Frage von arduino zum Thema Windows Userverwaltung ...

Windows Installation
gelöst Vorinstalliertes Betriebssystem auslesen (BIOS) (14)

Frage von Yauhun zum Thema Windows Installation ...

Batch & Shell
gelöst Daten mit Mediainfo auslesen (17)

Frage von Dr.Byte zum Thema Batch & Shell ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...

Zusammenarbeit
Administrator Verhalten nach Vertragskündigung (10)

Frage von sysbone zum Thema Zusammenarbeit ...