version2.dk: Alvorligt sikkerhedshul i openSSL - opdater nu

Nyheder om Open Source, Ubuntu, andre distributioner og meget mere.
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

version2.dk: Alvorligt sikkerhedshul i openSSL - opdater nu

Indlæg af lath »

Med baggrund i version2.dk artiklen Alvorligt sikkerhedshul i openSSL opdaget efter to år (1), så er det nok en god ide ubuntudanmark.dk får opdateret OpenSSL softwaren.

Straks derefter skal man have et nyt SSL certifikat, da det nuværende må anses for kompromitteret / usikkert.

Det er også vigtigt at få det tidligere certifikat registreret som ugyldigt ved certifikat gesjæften og hos sine egne computere.

Henrik Kranshøjs artikel Opdater OpenSSL - og dit OS nu (2)

(1): http://www.version2.dk/artikel/alvorligt-sikkerhedshul-i-openssl-opdaget-efter-aar-57209
(2): http://www.version2.dk/blog/opdater-openssl-og-dit-os-nu-57202

/Lars

Edit: Der er endnu ikke kommet pakke opdateringer til Ubuntu 12.10.
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af AJenbo »

Fejlen blev i øvrigt rettet i Ubuntu for ca. 20 timer siden. Men som artiklen også fotælder så er det ikke til at se om en hacker allerede har været inde på serveren.

Den server ubuntudanmark.dk køre på har i øvrigt ikke haft fejlen så vi behøves ikke gøre det store her :)
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af lath »

AJenbo skrev:Den server ubuntudanmark.dk køre på har i øvrigt ikke haft fejlen så vi behøves ikke gøre det store her :)

- og det passer så ikke:

Jeg har lige testet ubuntudanmark.dk via http://filippo.io/Heartbleed/#ubuntudanmark.dk

- og det lykkedes dem at skrive "YELLOW SUBMARINE" inde i serverens hukommelse og hente det igen!

/Lars
Vedhæftede filer
20140410_ubuntudanmark_dk_SSL_HEARTBLEED.png
20140410_ubuntudanmark_dk_SSL_HEARTBLEED.png (99.47 KiB) Vist 594 gange
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af AJenbo »

Efter som vi køre med OpenSSL 0.9.8 eksistere den feature som hullet er fundet i slet ikke, når jeg prøver dit link fortælder den mig i øvrigt også at der ikke er nogen problemer...
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af lath »

AJenbo skrev:Efter som vi køre med OpenSSL 0.9.8 eksistere den feature som hullet er fundet i slet ikke, når jeg prøver dit link fortælder den mig i øvrigt også at der ikke er nogen problemer...


Sikkerhedshullet eksisterede, da jeg postede mit indlæg, og derfor kan du kun have fikset sikkerhedshullet i perioden mellem jeg postede mit indlæg og du postede dit indlæg.
Det kunne du selvfølgelig gøre ret nemt ved at bruge en ældre OpenSSL pakke.

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
zob
Redaktør
Indlæg: 4430
Tilmeldt: 6. jan 2009, 22:01
Geografisk sted: København

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af zob »

Du milde. Skal jeg forstå det sådan at det værktøj som lath har brugt, og som er blevet anbefalet over hele internettet en milliard gange i løbet af de seneste døgn, er fake?

EDIT:
Aah. Der var vist også en bug i testværktøjet.
http://filippo.io/Heartbleed/faq.html#falsepositive
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af lath »

zob skrev:Du milde. Skal jeg forstå det sådan at det værktøj som lath har brugt, og som er blevet anbefalet over hele internettet en milliard gange i løbet af de seneste døgn, er fake?

EDIT:
Aah. Der var vist også en bug i testværktøjet.
http://filippo.io/Heartbleed/faq.html#falsepositive


Det var interessant.
Tak for oplysningen, zob - og så undskyld til Ajenbo, hvis det er en bug/er fake.

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af AJenbo »

lath skrev:
zob skrev:Du milde. Skal jeg forstå det sådan at det værktøj som lath har brugt, og som er blevet anbefalet over hele internettet en milliard gange i løbet af de seneste døgn, er fake?

EDIT:
Aah. Der var vist også en bug i testværktøjet.
http://filippo.io/Heartbleed/faq.html#falsepositive


Det var interessant.
Tak for oplysningen, zob - og så undskyld til Ajenbo, hvis det er en bug/er fake.

/Lars


Joo tak, det var da noget af en beskyldninger du nåede at komme med der
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: version2.dk: Alvorligt sikkerhedshul i openSSL - opdater

Indlæg af AJenbo »

Opss, det viser sig at vi faktisk har haft et problem med sikkerheden da vi køre med SPDY på serveren som har en indlejeret udgave af OpenSSL (der er så endnu en begrundelse for ikke at bruge static linking).

Mht til test værktøjet Lars linkede til så resulterede den altid i grønt OK når man trykkede på linket, men hvis man i stedet indtastede adressen og trykkede GO resulterede det for det meste i rød.

Jeg har nettop opdateret SPDY så hullet er lukket. Det vil sige serveren har været sårbar fra 18 marts og frem til i dag.