SSL kaputt ... Heartbleed Bug

"Distributions using OpenSSL 0.9.8 are not vulnerable ..."

0.9.8 scheint bei meinen Systemen Standard zu sein ( 9 STABLE, 8 STABLE )... kann das jemand bestätigen?
 
Kommt halt darauf an, ob Ports den openssl-Port benutzen. Das muss jeder für sich nachschauen. FreeBSD Base hat in Version 9.2 noch 0.9.8y.

Bin mal gespannt, wann man dazu übergeht sicherheitsrelevante Software nicht mehr in C zu schreiben, oder C einen Bound-Check einprügelt.
 

Anhänge

  • NSA.png
    NSA.png
    111,6 KB · Aufrufe: 496
Bevor noch jemand eine Mail schreibt: Ich habe es auf dem Zettel, aber noch so eine kleine Nebenbeschäftigung...
 
Die Version aus dem Ports ist aktuell, ja. Aber wenn du nicht manuell irgendwie die Libs kopieren willst, dann musst du auch den Port gegen die Port-Version bauen.

WITH_PORT_OPENSSL=yes

Aber ich denke das Update für FreeBSD in der Base wird sicher noch heute kommen.
 
Verstehe ich das richtig, daß man den Fehler nur als Man-In-The-Middle oder als "Wardriver" nutzen kann?
 
Verstehe ich das richtig, daß man den Fehler nur als Man-In-The-Middle oder als "Wardriver" nutzen kann?

Nein das geht einfach so. Betrifft aber eher den Server.

Ist ja wenigstens schön, dass solche Dinge in letzter Zeit mehr gefunden werden.
Lässt sich aber auch ggf. spekulieren, dass das alles Psy Ops sind und dies nur die Lücken sind um den Paranoiden Erfolge nach den Enthüllungen zu geben.

Scheint aber wieder so, als ob selbst Leute die sich trauen Crypto-Infrastruktur zu programmieren ihre Probleme mit den Eigenschaften von C haben.
 
Ich sehe es auch in einem gewissen grade positiv. So werden die Server überhaupt mal aktualisiert.
 
Wenn die bei OpenBSD nicht alle noch pennen würden. Mailinglisten tot, kein Announcement, nix.
 
Um 10 Uhr hat auch das FreeBSD Team die Luecke in head, 10.0 Release und 10-Stable geschlossen und eine erste Info rausgegeben:

Hi,

This is a heads-up for the OpenSSL "Heartbleed" bug.

FreeBSD port security/openssl have been patched on 2014-04-07 21:46:40
UTC (head, r350548) and 2014-04-07 21:48:07 UTC (branches/2014Q2, r350549).

FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head,
r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08
18:27:46 UTC (releng/10.0, r264267). The update is available with
freebsd-update. All other supported FreeBSD branches are not affected
by this issue.

Users who use TLS client and/or server are strongly advised to apply
updates immediately.

Because of the nature of this issue, it's also recommended for system
administrators to consider revoking all of server certificate, client
certificate and keys that is used with these systems and invalidate
active authentication credentials with a forced passphrase change.
Link: http://lists.freebsd.org/pipermail/freebsd-announce/2014-April/001541.html
 
Ich bin bei dem Thema etwas verwirrt, uname sagt mir ich wäre auf "10.0-RELEASE-p1", openssl version sagt immer noch "OpenSSL 1.0.1e-freebsd 11 Feb 2013" ... ist nu das Problem behoben oder nicht?

OT: Und vor allem warum wurde meine Jail ohne zu tun ebenfalls auf 10.0-R-p1 gehoben?
 
Lad mal den Test von github runter. Du brauchst allerdings lang/go um ihn auszuführen. Die Versionskennung bleibt wie sie ist. Das ist richtig.
 
FreeBSD hat das Basissystem-OpenSSL nicht komplett aktualisiert. Stattdessen wurde lediglich die Lücke selbst gepatcht, weshalb sich die OpenSSL-Version nicht ändert. Das vollständige Update wird sicherlich in den nächsten Tagen in 11-CURRENT und 10-STABLE landen.
 
Ja das mit "uname" ist mir gestern Nacht auch wieder eingefallen - immer wieder Falle ich darauf rein, glaub ich sollte mir ein Post-It ans Terminal kleben :D
 
Guten Abend liebes Forum :)

Und vor allem warum wurde meine Jail ohne zu tun ebenfalls auf 10.0-R-p1 gehoben?

Hmm... mein FreeBSD-Server war schnell versorgt Dank "freebsd-update" :)
Aber meine Jails sind scheinbar problematischer :( Da ich den Host direkt neugestartet hatte, muss ich bei "ezjail-admin update" die Option "-U" verwenden. Also rufe ich auf dem Host diesen Befehl auf: "ezjail-admin update -U -s 10.0-RELEASE"

Die Ausgabe:
Code:
ezjail-admin update -U -s 10.0-RELEASE
Looking up update.FreeBSD.org mirrors... 5 mirrors found.
Fetching metadata signature for 10.0-RELEASE from update2.freebsd.org... done.
Fetching metadata index... done.
Inspecting system... done.

The following components of FreeBSD seem to be installed:
kernel/generic world/base world/lib32

The following components of FreeBSD do not seem to be installed:
src/src world/doc world/games

Does this look reasonable (y/n)? y

Fetching metadata signature for 10.0-RELEASE-p1 from update2.freebsd.org... failed.
Fetching metadata signature for 10.0-RELEASE-p1 from update5.freebsd.org... failed.
Fetching metadata signature for 10.0-RELEASE-p1 from update4.freebsd.org... failed.
Fetching metadata signature for 10.0-RELEASE-p1 from update6.freebsd.org... failed.
Fetching metadata signature for 10.0-RELEASE-p1 from update3.freebsd.org... failed.
No mirrors remaining, giving up.

Was ist das Problem? Liegt das an meinem Server? :confused:


Mit freundlichen Grüßen,
Thorsten
 
Zurück
Oben