Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
("www.meinebank.com" durch die abzufragende Adresse ersetzen)Zitat
echo QUIT | openssl s_client -connect www.meinebank.com:443 -tlsextdebug 2>&1 | grep heartbeat
...dann ist Vorsicht angezeigt, denn "Heartbeat" ist die Erweiterung, die den beschriebenen Angriff möglich macht.Zitat
TLS server extension "heartbeat" (id=15), len=1
Quellcode |
|
1 2 |
echo QUIT | openssl s_client -connect imap.gmx.de:993 -tlsextdebug 2>&1 | grep heartbeat echo QUIT | openssl s_client -connect imap.gmail.com:993 -tlsextdebug 2>&1 | grep heartbeat |
Quellcode |
|
1 |
echo QUIT | openssl s_client -connect www.web.de:443 -tlsextdebug 2>&1 | grep heartbeat |
Quellcode |
|
1 |
TLS server extension "heartbeat" (id=15), len=1 |
Was ist also zu tun
Benutzerinformationen überspringen
User
Registrierungsdatum: 19.03.2009
Derivat: Ubuntu
Version: Ubuntu 18.04 LTS - Bionic Beaver
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Update: Es ist nicht nötig, eine Verbindung zu belauschen (was ja ohnehin bereits ein unbefugtes Eindringen in ein Datennetz wäre). Es geht leider viel einfacher über eine ganz normale Verbindung, während der die Lücke ausgenutzt werden kann. Das ganze spielt sich innerhalb des für den Anwender normalerweise unsichtbaren Datenaustauschs zwischen Client und Server ab. Vereinfachtes Szenario:Dazu muss der Angreifer natürlich auch die Übertragung belauschen können, im Regelfall würde er dabei allerdings nur Datenmüll sehen.
Benutzerinformationen überspringen
User
Registrierungsdatum: 08.02.2014
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: Unity
Andere Betriebssysteme: Rasbian
Kurzfassung: Ausgerechnet jener Systemteil, der besonders sensible Datenübertragungen durch Verschlüsselung vor fremden Blicken schützen soll, hat einen Bug. Durch diesen ist es Angreifern möglich, von betroffenen Systemen Schlüsseldaten zu klauen, mit denen anschließend jede SSL/TLS-verschlüsselte Datenübertragung in Echtzeit entschlüsselt werden kann. Dazu muss der Angreifer natürlich auch die Übertragung belauschen können, im Regelfall würde er dabei allerdings nur Datenmüll sehen.
Lautet die Ausgabe:...dann ist Vorsicht angezeigt, denn "Heartbeat" ist die Erweiterung, die den beschriebenen Angriff möglich macht.Zitat
TLS server extension "heartbeat" (id=15), len=1
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Das habe ich auch in meinem heutigen update richtiggestellt.Dazu muss der Angreifer die Übertragung nicht belauschen können
Sagen wir es ist kein eindeutiger Nachweis, daß der Server die Lücke tatsächlich hat. Deshalb habe ich auch jeweils mit "könnte" formuliert. Es hat auch keinen Sinn, unnötig Panik zu verbreiten. Ein Hinweis zur Vorsicht ist es aber allemal. Denn:so dass eine aktive Heartbeat-Erweiterung kein Hinweis auf ein Problem ist
Dein Wort in Gottes GehörgangInzwischen sollte jeder halbwegs brauchbare Admin die nötigen Aktualisierungen eingespielt haben
Benutzerinformationen überspringen
User
Registrierungsdatum: 28.07.2011
Derivat: Kein Ubuntu-Derivat
Version: gar kein Ubuntu
Architektur: 64-Bit PC
Desktop: unbekannt
]Dein Wort in Gottes Gehörgang
Man bedenke aber auch, daß das Besorgen und Installieren von neuen Zertifikaten u.U. auch etwas Zeit in Anspruch nehmen kann, speziell bei "hochwertigen" CAs/Servern. Weiters müssen die alten Zertifikate für ungültig erklärt werden, was zwar normalerweise beim Erneuern automatisch geschieht. Das nützt aber wenig, wenn die Anwender die Überprüfung auf abgelaufene Zertifikate nicht nutzen bzw. ausgeschaltet haben. Hier ist wieder der Anwender in der eigenen Verantwortung. Pop-ups in Warnfarben kommen nie ohne Grund! (Man sollte die Warnungen lesen vor dem Wegklicken...)
Nicht übersehen sollte man, daß auch bei schnellster Reaktionszeit mehrere Tage vergangen sind in denen die Lücke bekanntermaßen vorhanden war. Wie lange sie davor schon bestand und ob sie inzwischen ausgenutzt wurde, wird die Zukunft zeigen.
Zitat
Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?
Achja, die werden in letzter Zeit auch immer zugänglicher für Extra-Einnahmen.*) Naja, langsam ist sogar am freien SSL-Markt etwas Kohle drin.Mails hat wie von StartSSL
Mein MitleidWar eine durchpatchte Nacht
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Und das hat Strato so gesagt?jaaaa, Sie haben ja den vserver ... und da gibt es ja noch die Ubuntu-Foren.
Als Server-Admin sollte man immer einen erhöhten Adrenalin-Spiegel haben, auch als untauglicher.ob ich jetzt in Panik geraten soll oder nicht.
Die Reihenfolge wäre wichtig:Also besser alle Zertifikate und betroffenen Passwörter mit gepatchtem OpenSSL erneuern.
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Siehe Beitrag #2...web.de und andere getestet, die waren alle ok, aber waren sie das auch vor zwei Tagen?
Die Zertifikate haben ein Gültigkeitsdatum.Haben sie auch die Zertifikate erneuert und zurückgezogen?
sinngemäß, ja.Und das hat Strato so gesagt?
"meine" User bin bis dato ich selbst ;-)Wenn deine WP-User sich sowieso immer unverschlüsselt einloggen, ist jeder Bug unwichtig. Aber bestimmt haben sie für jede Webseite ein eigenes Passwort. Kann also kaum was passieren...
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Die Zertifikate haben ein Gültigkeitsdatum.
... das ich mir bei web.de jetzt angesehen habe. Daraus ergibt sich, daß es vor zwei Tagen neu ausgestellt wurde. Der Test von Doc kam demnach einen Tag zu spät. Da aber heartbeat noch immer aktiviert ist, wird es das auch vorher gewesen sein. Nachdem sie das Zertifikat erneuert haben, kann man schließen, daß sie eine betroffene Version von OpenSSL am Start hatten. Sonst hätten sie wohl kaum ein neues Zertifikat gekauft. Wenn man davon ausgeht, daß sie auch die OpenSSL-Version erneuert haben, sollte jetzt alles ok sein, selbst wenn die "heartbeat"-Erweiterung noch immer aktiviert ist. Das Problem war ja hearbeat in den Versionen von 1.0.1 bis 1.0.1f. Daher auch immer meine vorsichtige Formulierung, wenn "hearbeat" aktiv ist, dann könnte der Server betroffen sein. Eine Verifikation bedarf weiterer Informationen, die letzten Endes nur Betreiber haben kann.Die Zertifikate haben ein Gültigkeitsdatum.
Ruf die Seite auf und sieh dir das Zertifikat an + mach den Test aus Beitrag #1. Dann überlege weiter.ob mein Verwaltungsserver (oder wie soll ich das Teil nennen, wo ich die Sites mit Plesk Panel verwalte?), das ist eine subdomain von stratoserver.net mit Zugang über Port :8443, in Gefahr ist.
Ich schreibe den ersten Beitrag jetzt nicht nochmal, und das Netz quillt mittlerweile über von Infos.Was könnte da schlimmstenfalls passieren?
Sponsorenwerbung: |
Hardware, Computer, PCs, Notebooks & Laptops mit Linux |
Forensoftware: Burning Board®, entwickelt von WoltLab® GmbH
Individuelle Notebooks Laptops - Individuelle Computer PCs - Linux Notebooks & Computers
Lastminute - Ubuntu Linux - Abmahnung - Geek und Nerd Shirt Shop
T-Shirts - sanierung wien