version2.dk: Alvorligt sikkerhedshul i openSSL - opdater nu

[lath]

Med baggrund i version2.dk artiklen Alvorligt sikkerhedshul i openSSL opdaget efter to år (1), så er det nok en god ide ubuntudanmark.dk får opdateret OpenSSL softwaren.

Straks derefter skal man have et nyt SSL certifikat, da det nuværende må anses for kompromitteret / usikkert.

Det er også vigtigt at få det tidligere certifikat registreret som ugyldigt ved certifikat gesjæften og hos sine egne computere.

Henrik Kranshøjs artikel Opdater OpenSSL - og dit OS nu (2)

(1): http://www.version2.dk/artikel/alvorligt-sikkerhedshul-i-openssl-opdaget-efter-aar-57209
(2): http://www.version2.dk/blog/opdater-openssl-og-dit-os-nu-57202

/Lars

Edit: Der er endnu ikke kommet pakke opdateringer til Ubuntu 12.10.

[AJenbo]

Fejlen blev i øvrigt rettet i Ubuntu for ca. 20 timer siden. Men som artiklen også fotælder så er det ikke til at se om en hacker allerede har været inde på serveren.

Den server ubuntudanmark.dk køre på har i øvrigt ikke haft fejlen så vi behøves ikke gøre det store her

[lath]

Den server ubuntudanmark.dk køre på har i øvrigt ikke haft fejlen så vi behøves ikke gøre det store her

- og det passer så ikke:

Jeg har lige testet ubuntudanmark.dk via http://filippo.io/Heartbleed/#ubuntudanmark.dk

- og det lykkedes dem at skrive "YELLOW SUBMARINE" inde i serverens hukommelse og hente det igen!

/Lars

[AJenbo]

Efter som vi køre med OpenSSL 0.9.8 eksistere den feature som hullet er fundet i slet ikke, når jeg prøver dit link fortælder den mig i øvrigt også at der ikke er nogen problemer...

[lath]

Efter som vi køre med OpenSSL 0.9.8 eksistere den feature som hullet er fundet i slet ikke, når jeg prøver dit link fortælder den mig i øvrigt også at der ikke er nogen problemer...

Sikkerhedshullet eksisterede, da jeg postede mit indlæg, og derfor kan du kun have fikset sikkerhedshullet i perioden mellem jeg postede mit indlæg og du postede dit indlæg.
Det kunne du selvfølgelig gøre ret nemt ved at bruge en ældre OpenSSL pakke.

/Lars

[zob]

Du milde. Skal jeg forstå det sådan at det værktøj som lath har brugt, og som er blevet anbefalet over hele internettet en milliard gange i løbet af de seneste døgn, er fake?

EDIT:
Aah. Der var vist også en bug i testværktøjet.
http://filippo.io/Heartbleed/faq.html#falsepositive

[lath]

Du milde. Skal jeg forstå det sådan at det værktøj som lath har brugt, og som er blevet anbefalet over hele internettet en milliard gange i løbet af de seneste døgn, er fake?

EDIT:
Aah. Der var vist også en bug i testværktøjet.
http://filippo.io/Heartbleed/faq.html#falsepositive

Det var interessant.
Tak for oplysningen, zob - og så undskyld til Ajenbo, hvis det er en bug/er fake.

/Lars

[AJenbo]

Du milde. Skal jeg forstå det sådan at det værktøj som lath har brugt, og som er blevet anbefalet over hele internettet en milliard gange i løbet af de seneste døgn, er fake?

EDIT:
Aah. Der var vist også en bug i testværktøjet.
http://filippo.io/Heartbleed/faq.html#falsepositive

Det var interessant.
Tak for oplysningen, zob - og så undskyld til Ajenbo, hvis det er en bug/er fake.

/Lars

Joo tak, det var da noget af en beskyldninger du nåede at komme med der

[AJenbo]

Opss, det viser sig at vi faktisk har haft et problem med sikkerheden da vi køre med SPDY på serveren som har en indlejeret udgave af OpenSSL (der er så endnu en begrundelse for ikke at bruge static linking).

Mht til test værktøjet Lars linkede til så resulterede den altid i grønt OK når man trykkede på linket, men hvis man i stedet indtastede adressen og trykkede GO resulterede det for det meste i rød.

Jeg har nettop opdateret SPDY så hullet er lukket. Det vil sige serveren har været sårbar fra 18 marts og frem til i dag.