Wichtiger Patch für openssl

jahlives · 07. Jul 2015

Diesen Donnerstag (9. Juli) wird es einen Patch für openssl geben, welcher eine Lücke schliesst, die mit Level HIGH taxiert ist. Genauere Details gibt es aktuell noch nicht, damit die Hersteller gefixte openssl Versionen in ihren Repositories anbieten können. Es ist sehr selten, dass openssl eine solche Vorankündigung macht. Daher kann man davon ausgehen, dass es eine massive Lücke sein dürfte, die sich einfach ausnutzen lässt. Wer weiss vielleicht Heartbleed Teil 2

Betroffen sind die Versionen 1.0.1 und 1.0.2, ältere Versionen wie 0.9.8 und 1.0.0 sind scheinbar nicht betroffen

https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

Frogman · 07. Jul 2015

jahlives schrieb:
...Betroffen sind die Versionen 1.0.1d und 1.0.2p, ältere Versionen wie 0.9.8 und 1.0.0 sind scheinbar nicht betroffen

Bevor hier Irritationen aufkommen: betroffen sind die aktuellen Versionen 1.0.2c sowie 1.0.1o. Behoben wird die Lücke mit den angekündigten Versionen 1.0.2d und 1.0.1p.

jahlives · 07. Jul 2015

ups mein Bock, zu schnell gelesen. Danke für die Korrektur

Frogman · 07. Jul 2015

Die Hitze...

PS: Und für Interessierte: ja, die DS ist davon betroffen... die aktuelle DSM5.2-5592 beinhaltet die openSSL 1.0.1o.

dil88 · 07. Jul 2015

Und um es noch etwas transparenter zu machen - auch für Leute mit älteren DSM-Versionen: Auf Basis des Wiki-Beitrags "Versionsnummern der installierten Programme" ist die letzte DSM-Version mit openSSL 1.0.0 DSM 4.0 gewesen. Insofern wird es spannend sein, ob es Updates für DSM 4.2, 4.3 und 5.0 geben wird.

joku · 07. Jul 2015

dil88 schrieb:
DSM-Version mit openSSL 1.0.0 DSM 4.0 gewesen.

Hmm, das sieht bei mir anders aus

DSM 4.0

DS110j> openssl version
OpenSSL 0.9.8v 19 Apr 2012
DS110j>

DSM 4.3

DiskStation> openssl version
OpenSSL 1.0.1i-fips 6 Aug 2014
DiskStation>

dil88 · 07. Jul 2015

Heißt aber immer noch, dass die 4.0 möglicherweise nicht die Lücke aufweist, über die hier gesprochen wird. Laut dem Wiki-Beitrag ist ab DSM 4.1 beta openSSL 1.0.1 in Verwendung.

Frogman · 07. Jul 2015

Wie ja schon in Meldungen genannt - die Versionen aller Zweige bis einschließlich 1.0.0x (und damit auch die 0.9.8x) sind wohl nicht betroffen, die 1.0.1o und 1.0.2c (und vermutlich auch ihre Vorgänger im gleichen Zweig) sind betroffen.

jahlives · 07. Jul 2015

ich würde bei den älteren Versionen nicht zu schnell Entwarnung geben

Sobald Details zur Lücke draussen sind werden bestimmt wieder intensive Tests auch bei den älteren Versionen gefahren. Wer weiss ob dann die Lücke nicht ein bisschen abgewandelt auch in den älteren Versionen steck

dil88 · 07. Jul 2015

Könnte ich mir auch vorstellen. Ich sehe schon kommen, dass ich mich nun doch auf ein Update konkreter vorbereiten muss ...

jahlives · 09. Jul 2015

Scheinbar nicht so tragisch: https://www.openssl.org/news/secadv_20150709.txt
Betrifft wohl am ehesten die Clients, welche die Verbindung aufbauen. Eine Gefahr für den Server durch einen Client kann ich darin nicht sehen. Ausser sie verwenden eine zertifikatsbasierte Authentifizierung

This issue will impact any application that verifies certificates including
SSL/TLS/DTLS clients and SSL/TLS/DTLS servers using client authentication.

Suche

Wichtiger Patch für openssl

jahlives

Benutzer

Frogman

Benutzer

jahlives

Benutzer

Frogman

Benutzer

dil88

Benutzer

joku

Benutzer

dil88

Benutzer

Frogman

Benutzer

jahlives

Benutzer

dil88

Benutzer

jahlives

Benutzer

Kaffeautomat