Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Sicherheitskatastrophe "Heartbleed": Auf nickles.de kein Thema?

mawe2 / 60 Antworten / Flachansicht Nickles

Mich wundert, dass hier bisher kein Wort über die jüngst bekannt gewordene Sicherheitskatastrophe namens "Heartbleed" verloren wurde.

http://www.golem.de/specials/heartbleed-bug/

Gibt es irgendwelche nachvollziehbaren Gründe, dass dieses Thema hier komplett unter den Tisch gefallen ist? Oder ist es purer Zufall?

Ist nickles.de von diesem Bug in irgendeiner Form betroffen?

http://www.faz.net/aktuell/feuilleton/openssl-sicherheitsluecke-jetzt-muss-jeder-jedes-passwort-aendern-12889676.html

Gruß, mawe2

bei Antwort benachrichtigen
Machst du als User hier irgendwelche verschlüsselte ... the_mic
Soweit habe ich das für mich auch erkannt. Aber ich nutze ... mawe2
Das war unsere letzte übereinstimmende Feststellung ... mawe2
Ruf mal spasseshalber https://www.nickles.de auf. Dann ... mi~we
Alles klar, danke! Gruß, mawe2 mawe2
Ja, ich weiß was das bedeutet : mi we hat es eigentlich ... xafford
Hallo, Überlastung der User. Jeden Tag kommen neue ... Hyperboreal
Da ist sicher was dran. Nur ist eben dieses Thema jetzt von ... mawe2
Klar, der Fehler ist extrem kritisch, teuer und braucht bei ... the_mic
Hallo, Also, ich frage mich immer wieder, wie viele neue ... Hyperboreal
Jedes neue Feature, jede neue Zeile Code birgt das Risiko, ... the_mic
Hallo, Darum liebe ich Python. ... Hyperboreal
Und von was träumst du nachts? - Stark abstrahierte ... the_mic
Hallo, Klar. Für mich gibt es zwei Aspekte: 1. ... Hyperboreal
Hallo, eins kann ich jetzt schon sagen: Diie Bedeutung von ... Hyperboreal
Hier gibt s noch einen interessanten Artikel aus einem ... mawe2
Die strenge Qualitätskontrolle fällt aber gerade bei ... Borlander
Naja, ob das realitätsnah ist, darüber könnte man sicher ... mawe2
Dann sind wir aber schon im Bereich der Individualsoftware. ... Borlander
Ich will gar nicht behaupten, das mir das Gelingen würde. ... mawe2
Es bietet bei mir heute Avira Free Antivirus über ein ... gelöscht_320029
Wie soll denn eine lokal installierte AV-Software gegen ... mawe2
Das wäre eher was für einen neuen Thread. Die Antwort in ... Borlander
Entschuldige bitte, so schnell lese ich nicht stetig, schaue ... gelöscht_320029
@all: WOW! Da hab ich ja was losgetreten... :- Auch wenn die ... mawe2
Übrigens haben wir auch schon öfters diskutiert, ob Open ... mawe2
Na ja, wenn man mal überlegt, wie lange MS an XP ... gelöscht_84526
Hallo, aber eigentlich geht es doch hier um Open-SSL ... Hyperboreal
Mir ging es ja auch nur um diesen Satz: Wenn es aber zwei ... gelöscht_84526
Als ich damals dieses Argument gebracht habe, hätte ich ... mawe2
Darum geht es aber hier nicht... Gruß, mawe2 mawe2
Ich wusste, dass du mein Beispiel bzw. meinen Hinweis nicht ... gelöscht_84526
Hallo, na vielleicht war es doch ein bisschen schlecht, das ... Hyperboreal
Nee, war es eigentlich nicht. Man muss nur sein Gehirn ... gelöscht_84526
Na, wenn Du das schon so schön erkannt hast, wundert es ... mawe2
Es ist für mich in der Tat immer wieder auf s Neue schwer ... mawe2
Nichts liegt mir ferner. Du verstehst doch sowieso nix. ... gelöscht_84526
Es gibt allerdings auch genügend Beispiele für Lücken in ... Borlander
Das ist richtig. Nur dürfte diese Lücke kaum von der ... mawe2
Dann werfen wir doch einfach mal einen Blick auf Sasser ... Borlander
the_mic hatte das doch recht gut und prägnant ... Maybe
Die Reaktionen auf den Heartbleed-Bug sind mal wieder ... The Wasp
Also Entwarnung?? mawe2
Hallo Gerade habe ich eine Meldung dazu gelesen, wonach der ... groggyman
Hallo, Loriot: Ach ... ... Hyperboreal
Jeder Mensch und jede Gruppe auf dieser Welt nutzt ... jueki
Fällst du allmählich dem Schwachsinn anheim? Andy andy11
Ach wo, schon immer... Jürgen jueki
Dann wirst du wohl niemals der Schäfer werden. Andy andy11
Ja, das befürchte ich ebenfalls. Jürgen jueki
Full ack... und die Mächtigen hier dürften keinen Grund ... gelöscht_231142
Borlander The Wasp „Die Reaktionen auf den Heartbleed-Bug sind mal wieder ...“
Optionen
Was bekommt der Angreifer?

Der bekommt Daten die zuvor vom selben OpenSSL-Prozess verarbeitet wurden. Also nicht einfach irgendwelche. Das Problem wird auch dadurch begünstigt, dass OpenSSL eine eigene Speicherverwaltung implementiert und da soweit ich das mitbekommen habe mit recht großen Blöcken arbeitet. Der Heuhaufen ist deutlich kleiner als man auf den ersten Blick vermuten würde. Und wenn du das einfach mal ein paar Tausend mal probierst dann bekommst Du mit recht hoher Wahrscheinlichkeit auch mal Daten die kritisch sind zu Gesicht. Die Chancen dafür dürften signifikant besser sein als beim Lotto spielen.

Siehe auch So funktioniert der Heartbleed-Exploit:

"Erschwerend hinzu kommt, dass OpenSSL seine eigene Speicherverwaltung implementiert […], so dass dort dann nicht irgendwelche allgemeinen Daten des Servers stehen, sondern Daten aus dem Kontext von OpenSSL. Das sind dann häufig Passwörter oder andere, gerade eben entschlüsselte Daten eines anderen Benutzers oder auch geheime Schlüssel des Servers. […] Diesen Angriff kann man nun beliebig wiederholen und so massenweise Daten in 16 K großen Blöcken auslesen."

bei Antwort benachrichtigen
Es gibt bisher keinen einzigen Beleg dafür, dass der ... The Wasp
Es sind wohl doch schon mehrere Belege vorhanden... Ich ... mawe2
Keys auslesen ist einfacher als gedacht ... mawe2
Hallo, Das ist ja ein statistisches Problem. Wenn man lange ... Hyperboreal
Mal sehen ob es noch härter kommt: ... andy11
Hallo, Joke of the day: ... Hyperboreal
Leider etwas spät, aber ich will trotzdem noch darauf ... xafford
Purer Zufall. Die Informatikprofis waren einfach mit ... The Wasp