[Postfixbuch-users] Sicherheitsproblem in OpenSSL Verschlüsselung

Mathieu Simon (Lists) matsimon.lists at simweb.ch
Di Apr 8 21:34:07 CEST 2014


m 08.04.2014 19:35, schrieb Igor Sverkos:
> Am 8. April 2014 18:52 schrieb Peer Heinlein
> 
>> Alle üblichen Distributionen haben heute Vormittag neue Releases
>> veröffentlicht. Ein einfaches Update reicht.
> 
> Gewagte Aussage. Auf betroffenen Systemen (alle anderen müssen ja auch
> gar nicht aktualisieren) sollten auch die verwendeten Zertifikate neu
> ausgestellt werden, d.h. hier muss Kontakt mit den Zertifikat-Dealern
> aufgenommen werden.
> 
> In diesem Zusammenhang sei auf
> https://twitter.com/startssl/status/453494182544670721 verwiesen..
> StartCom gibt kostenfrei Zertifikate aus, aber für's Revoken verlangen
> sie Geld. Ein Skandal... Gut, wer für ein paar Euro "richtige"... ;)
> 
> Jedenfalls worauf ich hinaus will: Mit einem Update alleine ist es
> eben nicht getan. Wer die Sicherheit seiner Dienste ernst nimmt, muss
> meiner Meinung nach alle Zertifikate der betroffenen Kisten
> austauschen. Natürlich erst, nachdem gepatcht wurde. Nur so ist
> sichergestellt, dass die Kommunikation weiterhin gesichert ist. Denn
> es besteht nun einmal die Gefahr, siehe die Infoseite
> http://heartbleed.com/, dass der private Key bereits ausgelesen wurde.
> Mit anderen Worten: Ihr könnt zwar patchen, aber ein Angreifer kann
> dann in aller Ruhe den weiterhin verschlüsselten Verkehr mitlesen und
> ihn in Ruhe bei sich entschlüsseln.
> 
> Ein einfaches Update reicht meiner Meinung nach also *nicht* aus.
> 
> Seht ihr das wirklich anders?

Soweit ich die Sache mitverfolgt habe, stimm ich dir zu:
Erst patchen, dann die Zertifikate wechseln.

Das Problem bestand bereits im ersten OpenSSL 1.0.1 von 2012. Sollte
also jemand vor der öffentlichen disclosure davon gewusst haben, war
genug Zeit da, um massig Keys auszulesen.

Bei heise* findet sich auch ein Link zu einem für Mailserver geeigneten
Prüftool auf github. (ich habs noch nicht ausprobiert)

Aber nicht alle Software, die OpenSSL verwendet scheint gleichermassen
betroffen zu sein. Gerade habe ich das Statement von FreeRADIUS gelesen,
wonach bei bestimmten Verwendungszwecken ein Risiko besteht.

-- Mathieu

*
http://www.heise.de/newsticker/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html

** http://freeradius.org/security.html

---
Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.
http://www.avast.com




Mehr Informationen über die Mailingliste Postfixbuch-users