Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Brehministrator schrieb:
Na jaa, das gilt aber nur für gerootete Android-Phones. Bei einem nicht gerooteten Phone kann keine App, und sei sie noch so bösartig, auf die /etc/hosts schreiben. Da ist bisher auch keine Sicherheitslücke bekannt, die das ermöglicht - und wird wahrscheinlich auch nicht, denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed :ugly:
Zum Vergrößern anklicken....

Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt ;)
Gerade vor dem Hintergrund, dass Google Android immer mehr von der open Source Ecke wegnimmt.
Brehministrator schrieb:
denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed :ugly:
Zum Vergrößern anklicken....
Das wäre kein Kernelproblem sondern nur ein Rechteproblem und da entstehen schnell Fehler die vielleicht nicht sofort auffallen.
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Toffelwurst schrieb:
Sollte aber, den Leuten ist nur die Tragweite nicht bewusst, oder sie interessieren sich einfach nicht dafür, was sehr sehr schade ist, denn es geht um ihre Sicherheit und gerade in einem PC Forum sollte mehr Interesse da sein. Vor allem, weil nicht nur Server sondern auch viele Clients betroffen sind.
Zum Vergrößern anklicken....

Das geringe Interesse für solche Themen ist leider exemplarisch für die Einstellung der großen Mehrheit der Internetnutzer. Es muss wohl erst so richtig krachen (sprich ins Geld gehn) ehe da ein Umdenken beginnt.
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Toffelwurst schrieb:
Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt ;)
Gerade vor dem Hintergrund, dass Google Android immer mehr von der open Source Ecke wegnimmt.
Zum Vergrößern anklicken....
Ja, von mir aus, damit kann ich mich abfinden :)
Toffelwurst schrieb:
Das wäre kein Kernelproblem sondern nur ein Rechteproblem und da entstehen schnell Fehler die vielleicht nicht sofort auffallen.
Zum Vergrößern anklicken....
Das geht zwar jetzt wirklich in den Kleinkram, aber wo sonst außer im Kernel soll denn so ein Problem liegen? Wenn die Datei root gehört und auch nur Schreibrechte von root hat (so ist es, hab grad mal auf meinem gerooteten Smartphone nachgesehen *g*), und nun noch dazu kommt, dass auf einem nicht gerooteten Android-Phone sich keiner als Root anmelden kann... Dann führen alle Möglichkeiten, die Datei doch noch zu manipulieren (entweder trotz Sperre root werden, oder die Rechte der Datei ändern, oder trotz fehlender Rechte schreiben) direkt über den Kernel. Wie sonst soll es denn zu so einem Rechteproblem kommen? Da der Besitzer root ist, kann niemand den Besitzer oder die Rechte modifizieren ;)
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Brehministrator schrieb:
Das geht zwar jetzt wirklich in den Kleinkram, aber wo sonst außer im Kernel soll denn so ein Problem liegen? Wenn die Datei root gehört und auch nur Schreibrechte von root hat (so ist es, hab grad mal auf meinem gerooteten Smartphone nachgesehen *g*), und nun noch dazu kommt, dass auf einem nicht gerooteten Android-Phone sich keiner als Root anmelden kann... Dann führen alle Möglichkeiten, die Datei doch noch zu manipulieren (entweder trotz Sperre root werden, oder die Rechte der Datei ändern, oder trotz fehlender Rechte schreiben) direkt über den Kernel. Wie sonst soll es denn zu so einem Rechteproblem kommen? Da der Besitzer root ist, kann niemand den Besitzer oder die Rechte modifizieren ;)
Zum Vergrößern anklicken....

Da die ganzen herstellerangepassten Androidversionen alle nicht wirklich open Source und teilweise auf perverseste Art und Weise neu compiliert sind möchte ich nicht ausschließen, dass da Dateien die im Stock, Cyanogen, etc. Android root gehören nicht irgendwelche anderen Konstellationen in den Herstellerversionen aufweisen. Evtl. Flags für rwx falsch gesetzt, man kann ja nie wissen, dannn ist auch egal wem die Datei eigl. gehört. Aber für Stock und Cyanogen etc. hast du natürlich recht ;)
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Toffelwurst schrieb:
Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt ;)
Zum Vergrößern anklicken....
Dann gilt das also für jedes Programm und jeden Kontakt eines PC zur "Außenwelt" entweder durch das Internet oder direkten Kontakt über USB und ähnliches?
Dann kann man auch davon ausgehen das die Gefahr sich etwas einzufangen mit jedem Programm das auf diese Verbindungen Zugriff hat steigt.
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

turbosnake schrieb:
Dann gilt das also für jedes Programm und jeden Kontakt eines PC zur "Außenwelt" entweder durch das Internet oder direkten Kontakt über USB und ähnliches?
Dann kann man auch davon ausgehen das die Gefahr sich etwas einzufangen mit jedem Programm das auf diese Verbindungen Zugriff hat steigt.
Zum Vergrößern anklicken....

Richtig und deswegen sollte man bekannte Sicherheitslücken schließen, auch wenn die Gefahr für Clients nicht so hoch sein mag wie für Server. Man kann nie wissen, ob ein evtl. noch unbekannter Bug schon genutzt wird und dadurch die Gefahr für ungepatchte Clients auf einmal um Faktor 10 höher ist als für Server. Durch das patchen von OpenSSL könnte man dann beidem entgegenwirken.

Gott ich schreib total verworren, aber ich hoffe man versteht was ich meine :)
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Golem unter Anderem zu Android:
Was ist mit Android?

In der bei Android mitgelieferten OpenSSL-Version*wurde Heartbeat am 25. Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des problematischen Codes. Vermutlich sind damit nur wenige Android-Telefone und Versionen betroffen.*
Zum Vergrößern anklicken....

Also für mich sieht es bis jetzt auch so aus, dass das Problem allgemein zwar riesig, gleichzeitig auf Client-Seite die Handlungsmöglichkeiten(und Bedarf) aber eher klein sind.
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Olstyle schrieb:
Golem unter Anderem zu Android:

"In der bei Android mitgelieferten OpenSSL-Version*wurde Heartbeat am 25. Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des problematischen Codes. Vermutlich sind damit nur wenige Android-Telefone und Versionen betroffen.*"

Also für mich sieht es bis jetzt auch so aus, dass das Problem allgemein zwar riesig, gleichzeitig auf Client-Seite die Handlungsmöglichkeiten(und Bedarf) aber eher klein sind.
Zum Vergrößern anklicken....
Das sind sehr gute Neuigkeiten :daumen: Danke für diese Info.
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Jetzt mein PW überall zu ändern macht keinen Sinn solange die Server wo ich mich Anmelde z.B. Steam als auch GMX, Web.de usw noch nicht gepatched wurden ... einzig Minecraft kann ich das pw schon ändern sehe ich das richtig oder falsch ?
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

SchumiGSG9 schrieb:
Jetzt mein PW überall zu ändern macht keinen Sinn solange die Server wo ich mich Anmelde z.B. Steam als auch GMX, Web.de usw noch nicht gepatched wurden ... einzig Minecraft kann ich das pw schon ändern sehe ich das richtig oder falsch ?
Zum Vergrößern anklicken....

Sofern die Server nicht gepatched sind kannst Du Dir die Änderung (noch) sparen. Zusätzlich sollten die Serverbetreiber auch ihre Zertifikate tauschen (Heartbleed SSL-GAU: Neue Zertifikate braucht das Land | heise Security) was Du als User allerdings nicht immer nachvollziehen kannst. Alles in allem ziemlich großer Mist, der da passiert ist.
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Und das alles wegen Missachtung von "Never ever trust user input". Da sind schon andere drüber gestolpert...
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Wenigstens zahlt sich jetzt das Geschäftsmodell von StartSSL so richtig aus. Kostenlose Zertifikate, aber 25 $ für den Widerruf. Das ist dann am Ende mehr als ein Vergleichbares Zertifikat bei einer anderen CA gekostet hätte. Im Gegensatz zu einigen anderen CAs sieht StartSSL aufgrund des Heartbleed-Bugs auch keinen Ausnahmefall, der das vorübergehende Aussetzen dieser Gebühr rechtfertigen würde. Es falle schließlich in den Verantwortungsbreich der Nutzer den privaten Schlüssel geheim zu halten und sichere Software zu verwenden. :D

https://cv.exbit.io/emails/startssl_heartbeat.txt
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Macht es eigentlich sinn, jetzt schon alle Passwörter zu ändern, solange noch nicht alle Server aktualisiert wurden?
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ja, echt eine Super Idee jetzt das Passwort zu ändern wo die Banken das Update noch nicht haben, LOL. In 5 Tagen frühstens. Oder jetzt und nachher jammer.
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

buenzli2 schrieb:
Ja, echt eine Super Idee jetzt das Passwort zu ändern wo die Banken das Update noch nicht haben, LOL. In 5 Tagen frühstens. Oder jetzt und nachher jammer.
Zum Vergrößern anklicken....

Warum in 5 Tagen? Frag Deine Bank doch einfach ob sie die Zertifikate bereits ausgetauscht haben. Die Lücke sollten Sie bereits geschlossen haben aber das kannst Du vorab selbst prüfen: Test your server for Heartbleed (CVE-2014-0160) "Meine" Bank hat das innerhalb eines Tages geschafft.

Falls Du eigentlich gar nicht weißt worum es bei dem Problem geht, kannst Du Dich natürlich vorab auch mal einlesen. :daumen:
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Toffelwurst schrieb:
Es schadet nie sein Passwort zu ändern, vor allem in regelmäßigen Abständen ;)
Zum Vergrößern anklicken....

Das tue ich sowieso. Aber aus rein logischer sicht, wenn ich jetzt sofort alle meine Passwörter ändere, aber auf einigen Servern die Lücke erst in einigen Tagen geschlossen ist, dann müsste ich, um sicher zu sein, dort nochmals das Passwort ändern, da das neue Passwort ja auch abgefangen werden kann, solange die Lücke da ist, wodruch die Prozedur für die Katz wäre. Also kann ich genauso gut gleich warten... und die Passwörter erst in einer Woche ändern.

Würde halt gerne wissen, ob diese Vorgehensweise halbwegs sinnvoll ist, oder ob man davon ausgehen kann, dass bereits heute schon quasi "alle" server wieder sicher sind. (ich gehe mal davon aus, dass das nicht der Fall ist)
 
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

keinnick schrieb:
Warum in 5 Tagen? Frag Deine Bank doch einfach ob sie die Zertifikate bereits ausgetauscht haben. Die Lücke sollten Sie bereits geschlossen haben aber das kannst Du vorab selbst prüfen: Test your server for Heartbleed (CVE-2014-0160) "Meine" Bank hat das innerhalb eines Tages geschafft.

Falls Du eigentlich gar nicht weißt worum es bei dem Problem geht, kannst Du Dich natürlich vorab auch mal einlesen. :daumen:
Zum Vergrößern anklicken....

Ich bin Informatiker an einem Gymnasium. ^^
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Sicherheitslücke in allen Zen-2-Prozessoren: AMD rollt Firmware gegen Zenbleed aus
Antworten
16
Aufrufe
955
belle
belle
PCGH-Redaktion
News Patchday bei Microsoft: vier kritische Sicherheitslücken sollen gestopft werden
Antworten
0
Aufrufe
46
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Intel verteilt Patches: Sicherheitslücke bedroht Core-CPUs mehrere Generationen
Antworten
4
Aufrufe
674
T-MAXX
T-MAXX
PCGH-Redaktion
News Zenbleed: Sicherheitslücke bedroht jetzt alle Zen-2-Prozessoren von AMD
2 3
Antworten
41
Aufrufe
3K
empy
E
PCGH-Redaktion
News Kritische Sicherheitslücke im Flash-Player
Antworten
0
Aufrufe
39
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück