[HaBo]

xeno

Anzeige

diese meldung sollte alle debianer betreffen:

http://lists.debian.org/debian-secur.../msg00152.html

viel spass beim keys austauschen ;)

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

bitmuncher

Hättest du auch einfach in Linux-News Sammelthread schreiben können.

__________________

xeno

ich eröffne zu selten neue threads, man sehe es mir nach.
ausserdem ist diese meldung von solch großer sicherheitstechnischer relevanz, daß sie auch mal groß hier oben stehen darf

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

BigDevil

Man sollte vielleicht auch noch anmerken, dass auch andere auf Debian basierende Betriebssysteme wie Ubuntu betroffen sind und nicht nur Debian selber.

http://ubuntuusers.de/ikhaya/1038/

sw33tlull4by

steht in der verlinkten Mailliste drin.

BigDevil

Ich hab es auch nur nochmal reingeschrieben, weil der erste Satz von xeno auch falsch verstanden werden könnte und manche denken das nur Debian selber betroffen ist. Der eine oder andere Ubuntu-User weiß vielleicht auch nicht, dass Ubuntu auf Debian basiert und erspart sich deshalb einen Text zu lesen der ihn nicht betrifft.

bitmuncher

Macht man bei Ubuntu ein Update von OpenSSL, wird man auf diese Lücke von apt/adept-updater hingewiesen und es wird automatisch überprüft ob die vorhandenen Keys sicher sind. Sind sie es nicht, werden automatisch neue generiert. Wenn also ein Ubuntu-User den adept-updater nicht deaktiviert hat, bekommt er es also eh mit.

__________________

xeno

title changed...

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

Elderan

Naja, wäre sowas in Windows aufgetaucht, hätten alle gleich 'Verschwörung!', 'NSA steckt dahinter!', 'Beabsichtigte Hintertür!', 'MS mal wieder inkompetent!' geschrien.
Freut mich wenn sowas auch in der Linux-Welt passiert


Wobei:
Wieso spielt man auch an solch sicherheitskritischen Sachen rum und vorallem, warum hält sich das fast zwei Jahre?

xeno

ich stelle den vergleich recht gerne an:

nach dem erscheinen des artikel auf heise.de kamen massenhaft kommentare nach dem schema "opensource ist schlecht, scheiss linux, alles kappes,...".
später am gleichen tag kam die meldung zum ms patchday, wo 6! lücken geschlossen wurde. aber kaum ein abwertender kommentar gegen microsoft

seltsam, seltsam...

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

Elderan

Hallo,
Man muss immer differenzieren wie schwerwiegend eine Lücke ist. Nur weil 6 Lücken geschlossen wurden, muss dies nichts heißen.

Solch eine Schwäche ist aber schon katastrophal, da OpenSSL eine sehr weiter Verbreitung genießt:
Ich weiß nicht wie katastrophal die Lücke ist, aber anscheinden schon erheblich. Sofern es wirklich leicht sein sollte, die Zufallsdaten zu erraten, dann heißt das im Klartext, dass alle SSL Zertifikate die unter Debian+OpenSSL erstellt wurden, unsicher sind.
Wenn man sein Zert. von einer CA unterschieben lassen hat, ist es nun Wertlos und man darf mehrere hundert Dollar für ein neues ausgeben.
Aber das ist nicht das schlimmste: Alte aufgezeichte Verbindungen können unter Umständen geknackt werden. Man möge sich mal vorstellen, welche Auswirkungen das haben kann.
Auch aufgezeichnte Verbindungen über SSH wären dann nicht mehr sicher, sprich, würde man solch eine Verbindung knacken, könnte man evt. an die Root-Logindaten gelangen.
Und es fließen maßenhaft streng geheime Unternehmensdaten täglich per VPN durchs netzt, wenn diese alle nicht mehr sicher sind (also alte Verbindungen)...

Und wenn man gerade seine Mitarbeiter mit digitalen Zertifikaten ausgerüstet hat, wirst du viel Spaß bekommen, wenn du für zig hundert Mitarbeitern ein neues Zertifikat erstellen und verteilen musst. Und dann muss noch jeder Geschäftspartner darüber in Kenntniss gesetzt werden, dass das alte Zertifikat ungültig ist.


Wenn man erst einmal sein Windows Betriebssystem gepatched hat, sollte man sicher vor den Lücken sein und hat damit keine weiteren Probleme.
Diese Lücke könnte aber für eine Firma sehr kostspielig werden und viele 'Nachwehen' verursachen, mal davon abzusehen, dass sich ein Administrator freuen wird, wenn er diverse Zertifikate zurückrufen und neu ausstellen darf.

Aber naja, dies hängt von der schwere der Schwachstelle im Zufallsgenerator ab, aber dazu gibts lauf heise.de noch keine genauren Infos.


Heise Foren sind ja fürs trollen bekannt, wobei ich mich sowas nicht anschließen möchte.
Ich wollte einfach nur mal die Leute wachrütteln die wehemt meinen, dass Close Source mist ist und solche Lücken in Open Source unmöglich sind, da ja jeder den Code seinsehen kann.
Da weder Debian unbekannt ist noch fast 2 Jahre ein kurzer Zeitraum ist, kann sowas sehr wohl in open source Projekten passieren. Evt. hilft dies einigen ihren Meinungshorizont zu erweitern


PS: Bitte jetzt keine Diskussion darüber, dass sowas in Close Source nie entdeckt werden würde und somit Hintertüren beliebig lange ausnutzbar seien etc....
Aber ich finde mit Pauschalisierungen wie Close Source = Unsicher, schlecht, Open Source = sicher, super, fährt man generell schlecht und sollte diese lieber schnell ablegen.
Es gibt durchaus einige Bereichen indenen unter verschlussgehaltene Designkriterien die Sicherheit erhöhen. Man muss da differenzieren.

Revenant

Es würde mich wirklich mal interessieren, wie lange es im Durchschnitt bei Open Source Software dauert bis eine Sicherheitslücke entdeckt und dann gefixt wird.

Anscheinend hat man besonders bei komplexen Thematiken doch nicht den so hoch gelobten Vorteil, Sicherheitslücken würden von der Community schnell entdeckt, weil ja jeder den Code einsehen kann.

Lesco

Das ist noch das Schlimmste an der Sache: Der Patch wurde nur aufgrund von valgrind-Warnungen geschrieben, da valgrind sich über die Nutzung von uninitialisiertem Speicher beschwert hatte, was in diesem Fall jedoch kein Fehler war, sondern zur Entropiegewinnung genutzt wurde.

Das ganze ist eigentlich ein gutes Beispiel, warum man solche Sachen lieber upstream lösen und nicht als Distributor selber daran rumpfuschen sollte(speziell bei Krypographie-Software).
Es gab zwar eine ansatzweise Erwähnung des Vorhabens in einer openssl-Mailingliste von einem Debian-Entwickler, doch der eigentliche Patch wurde nicht eingeschickt, zumal der Patch auch noch _vor_ dem Kontaktieren der Mailingliste ins Paket gewandert ist.

Das Problem war hier, dass die Lücke nicht in der eigentlichen Software, sondern in einem distri-spezifischen Patch lag, der den eigentlichen Entwicklern nicht bekannt war, denen dies wahrscheinlich früher aufgefallen wäre.

xeno

das stimmt nicht, der patch wurde mit upstream besprochen. quelle: intern.

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

b4ck

was ich gehört habe war das die debian leutz ne sicherheitslücke in openssl gefunden haben die vermeindlich geschlossen haben aber wegen dem patch zur schließung der lücke insecure keys entstanden sind.