Forumssoftware OpenSSL: Sicherheitslücke?

pixelrichter · 11 April 2014

Sollte man sich Gedanken machen und das Kennwörter ändern?

Horror-Lücke in OpenSSL
n der verbreiteten Verschlüsselungssoftware OpenSSL wurde eine riesige Sicherheitslücke entdeckt, von der knapp zwei Drittel aller Webseiten im Netz betroffen sind. Ein Sicherheitsexperte von Kaspersky spricht von einer extrem ernsten Situation.....

Weiterlesen -->
Quelle: http://www.focus.de/digital/interne...den-horror-bug-wissen-muessen_id_3761311.html

P.S.
Klar ist, dass man sein Kennwort regelmäßig ändern sollte, aber wer macht das schon?

Brummbrumm · 11 April 2014

Der Bericht spricht aber davon, dass der User recht wenig tun kann, soweit die Site noch nicht gesichert wurde. Und wenn dort der Abgriff stattfindet, nutzt auch das jeweils zeitnahe ändern des Passwort nichts.

pixelrichter · 11 April 2014

Deswegen hab ich die Frage ja hier im Supportbereich und nicht im Café gestellt.

Evtl. sagt ein Admin was dazu.....

Dilbert · 11 April 2014

Soweit ich beurteilen kann ist zroadster.com nicht betroffen. Dies ist keine Aussage über die Vergangenheit, daher würde ich empfehlen das Passwort mal zu ändern....

Edith: Und noch etwas zum Thema, geschrieben von jemandem, der die Komplexität abschätzen kann und hinreichend Ahnung davon hat. http://www.faz.net/aktuell/feuillet...ss-jeder-jedes-passwort-aendern-12889676.html

Gruß,

Björn

z4forMe · 11 April 2014

das Thema ist leider recht komplex und ich würde jeden empfehlen, daß was ich selber getan habe und auch öfters mache. Passwörter ändern für Banken und überall da wo auch kritische Daten hinterlegt sind.Bei Foren ändere ich meine Passwörter schrittweise. Wobei die meisten Opensource Foren noch die alte 0.9x verwenden.
Panik ist jedenfalls nicht angebracht. Generell verwende ich kein Passwort doppelt.

Wie in der FAZ von apokalyptisch zu sprechen... naja.... Ich würde daher diesen Artikel eher zu Rate ziehen:
http://www.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html

Dilbert · 11 April 2014

z4forMe schrieb:
das Thema ist leider recht komplex und ich würde jeden empfehlen, daß was ich selber getan habe und auch öfters mache. Passwörter ändern für Banken und überall da wo auch kritische Daten hinterlegt sind.Bei Foren ändere ich meine Passwörter schrittweise. Wobei die meisten Opensource Foren noch die alte 0.9x verwenden.

Bis zu dem Punkt bin ich ganz deiner Meinung.

Panik ist jedenfalls nicht angebracht. Generell verwende ich kein Passwort doppelt.

Panik ist generell niemals angebracht, aber an der Stelle würde ich doch eher schnell handeln.
Das man PWs nicht doppelt verwenden darf, wird man in die Köpfe von Anwendern niemals rein bekommen.

Wie in der FAZ von apokalyptisch zu sprechen... naja.... Ich würde daher diesen Artikel eher zu Rate ziehen:
http://www.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html

Naja, Hr. Schmidt schreibt ja selber folgendes:

heise online schrieb:
Fakt ist, dass man auf verwundbaren Servern Passwörter von Anwendern ernten konnte; wir haben bei unseren Tests betroffener Server selber Benutzernamen und Passwörter im Klartext gesehen. Und verwundbar war die halbe Internet-Welt – eine Liste der zumindest zeitweise anfälligen Dienste liest sich wie ein Who-is-Who des Internet. Einzige Einschränkung: Man kann nicht gezielt das Passwort eines bestimmten Users klauen, sondern muss das nehmen, was der angreifbare Server grade ausspuckt.

Ist halt Zufall wenn die eigenen Credentials dabei sind und zugegeben, auf viel genutzten Diensten wird's eher unwahrscheinlich sein, aber deshalb dieses Risiko eingehen?

Wenn man ein vernüftiges Passwort Management hat, kann man die eigenen Passwörter ja relativ schnell ändern, aber ich gestehe ein, daß nur die wenigsten Anwender sowas haben.

Gruß,

Björn

TomZZZZ · 11 April 2014

Bin gerade dabei bei uns in der Firma auch alles zu aktualisieren. Check auf zroadster.com von heute morgen ergab allerdings erstmal Folgendes:

11:04:07 tomzzzz@rootbar ~ # python ssltest.py zroadster.com
Connecting...
Sending Client Hello...
Waiting for Server Hello...
... received message: type = 22, ver = 0301, length = 53
... received message: type = 22, ver = 0301, length = 2276
... received message: type = 22, ver = 0301, length = 525
... received message: type = 22, ver = 0301, length = 4
Sending heartbeat request...
... received message: type = 21, ver = 0302, length = 2
Received alert:
0000: 02 46 .F

Server returned error, likely not vulnerable

Die Anfälligkeit ergibt sich nur mit serverseitiger OpenSSL Version 1.0.1 bis 1.0.1f
Userseitig kann die Lücke nicht geschlossen werden, wenn allerdings Services genutzt wurden bei denen die Lücke bestand, könnte euer Passwort und oder andere Infos kompromittiert worden sein - daher vorsichtshalber mal ändern.

Wer wissen will was da passiert:

Brummbrumm · 11 April 2014

Mit den Passwörtern ist das so ne Sache...

20 Anwendungen, die alle unterschiedliche Passes wollen, die dann alle 3 Monate gewechstelt werden sollen.
Klaro: bereits verwendete Passwörter sind tabu und die irgendwo aufschreiben auch.

Dilbert · 11 April 2014

Brummbrumm schrieb:
Mit den Passwörtern ist das so ne Sache...

20 Anwendungen, die alle unterschiedliche Passes wollen, die dann alle 3 Monate gewechstelt werden sollen.
Klaro: bereits verwendete Passwörter sind tabu und die irgendwo aufschreiben auch.

Ja, das Problem ist bekannt. :-(

Mit dem aufschreiben ist's so 'ne Sache. Ich schreibe meine Passörter auf, allerdings Rechner gestützt. Dafür kann man z.B. KeePass oder PGP/GnuPG nutzen.
Allerdings liegt bei mir die GnuPG verschlüsselte Datei auf einem verschlüsselten Dateisystem, zudem hat der Rechner keinen Netzzugang....

z4forMe · 11 April 2014

@Dilbert ja, im großen und ganzen sind wir uns schon einig

ich hab halt bestimmt zig Anrufe gekriegt und die Welt geht unter......

Passwörter schreibe ich auch auf. Diese sind mit Locknote verschlüsselt. Wer es noch sicherer haben möchte, speichert die Dateien wie halt Dilbert auch auf einem
verschlüsselten System, unter Windows z.B. in einem True Crypt Container.

Noch was, wer eine Synology NAS mit DSM Version 5 verwendet und Onlinezugriff hat, sollte unbedingt auch die letzten Updates einspielen.

Brummbrumm · 11 April 2014

Gerade geschehen. Hoffentlich funzt dabei auch wieder der Schlafmode für die HDs.

Cathul · 11 April 2014

Wieso nicht einfach Password-Container benutzen? Keypass oder 1Password oder ähnliche Produkte machen die Verwaltung von Passwörtern wirklich leichter.

z4forMe · 12 April 2014

Brummbrumm schrieb:
Gerade geschehen. Hoffentlich funzt dabei auch wieder der Schlafmode für die HDs.

Version: 5.0-4458 Update 2
Fixed an issue causing hard drives to not hibernate when SSD read-write cache was enabled.

Ansonsten kann auch die Indexierung durch Audiostation den Fehler verursachen, Dienst stoppen, starten und nochmals in den Logs schauen.

Wenn das immer noch nicht reicht, gibt es eine Lösung, wo man sich ein bisschen auskennen sollte:

Quelle:
http://www.synology-forum.de/showth...uss/page10&s=1782465aea648f53cbd415dfd79d83ea

Insgesamt ist die DSM 5 noch mit so vielen Bugs versehen, und laut Syno-Forum ist der Support aktuell wegen den vielen Anfragen wohl völlig überfordert....
Ich warte mit der Installation eines neues "Meilensteins/Release" mind 6 Monate oder 3-4 Updates :)

Ollfried · 14 April 2014

Dilbert schrieb:
Soweit ich beurteilen kann ist zroadster.com nicht betroffen.

Kann ich ergänzen, zroadster war auch nicht betroffen.

Forumssoftware OpenSSL: Sicherheitslücke?

pixelrichter

Umbau Hydraulikpumpe e85

Brummbrumm

Schräger, fetter Typ

pixelrichter

Umbau Hydraulikpumpe e85

Dilbert

macht Rennlizenz

z4forMe

macht Rennlizenz

Dilbert

macht Rennlizenz

TomZZZZ

macht Rennlizenz

Brummbrumm

Schräger, fetter Typ

Dilbert

macht Rennlizenz

z4forMe

macht Rennlizenz

Brummbrumm

Schräger, fetter Typ

Cathul

Fahrer

z4forMe

macht Rennlizenz

Ollfried

Platformer