jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
ich denke solange kein Patch für die Firmware vorhanden ist sollte man sich genau überlegen ob man bestimmte Dienste noch nach extern freigeben will. Bis ein Patch da ist ist es imho ein zu grosses Risiko etwas via openssl von extern erreichbar zu machen. Auch wenn der Patch dann da ist, muss man noch mehr tun: alle openssl Schlüssel (private Keys) sollten als kompromittiert angeschaut werden. Man wird neue Schlüssel und damit neue Zertifikate generieren und signieren lassen müssen. Mit den alten Schlüsseln und gepatchtem openssl weiter zu machen würde ich nicht empfehlen. Gemäss der Security Mailingliste meines Vertrauens ;-) müsste der Bug ungefähr seit Dezember 2012 in the Wild sein. Damals kamen die ersten anfälligen openssl Versionen.
Für alle User welche PFS nutzen:
Ivan Ristic legt nahe, dass die Verwendung von PFS nicht bedingunglos vor diesem Bug resp dem nachträglichen Entschlüsseln schützt. Wenn nämlich ein SSL-Ticket-Key (der eigentliche Schlüssel für PFS-Verbindungen) ausgelesen werden kann, dann sind alle damit verschlüsselten Daten lesbar.
Für alle User welche PFS nutzen:
Ivan Ristic legt nahe, dass die Verwendung von PFS nicht bedingunglos vor diesem Bug resp dem nachträglichen Entschlüsseln schützt. Wenn nämlich ein SSL-Ticket-Key (der eigentliche Schlüssel für PFS-Verbindungen) ausgelesen werden kann, dann sind alle damit verschlüsselten Daten lesbar.