Egal88
Super-Moderator & Mr. Powerforen 2012
Teammitglied
Mich wundert, dass noch niemand einen Thread zu diesem Thema aufgemacht hat, das doch die Verschlüsselungssicherheit so massiv betrifft.
Als Kurzinfo: vor einigen Tagen wurde eine Lücke in der Umsetzung des TLS-Protokolls im OpenSSL gefunden, die das Auslesen von Speicherdaten des verschlüsselnden Servers möglich macht und somit Zugriff auf Schlüssel und ggf. sogar Zertifikate und Passworte möglich macht.
Eine sehr interessante Beschreibeung der Funktionsweise des Exploits steht bei Heise: So funktioniert der Hearbleed-Exploit
Damit sind (und waren wahrscheinlich für lange Zeit) viele community-getriebene Projekte wie z.B. OpenVPN oder einige nicht kommerzielle https-Server quasi offen oder zumindest leicht knackbar. Sogar Sophos musste einräumen, dass einige seiner Appliances (früher "Astaro") anfällig sind. http://blogs.sophos.com/2014/04/08/important-note-openssl-vulnerability-cve-2014-0160-in-sophos-utm/
Bezeichnend fand ich die umgehende (!) Reaktion der NSA, die sofort eine Kenntnis dieser Schwachstelle bestritten hat, wo sie doch sonst so zögerich mit der Preisgabe von Informationen ist.
Was sagt ihr dazu? Hat jemand von euch schon mal seine Services getestet?
Als Kurzinfo: vor einigen Tagen wurde eine Lücke in der Umsetzung des TLS-Protokolls im OpenSSL gefunden, die das Auslesen von Speicherdaten des verschlüsselnden Servers möglich macht und somit Zugriff auf Schlüssel und ggf. sogar Zertifikate und Passworte möglich macht.
Eine sehr interessante Beschreibeung der Funktionsweise des Exploits steht bei Heise: So funktioniert der Hearbleed-Exploit
Damit sind (und waren wahrscheinlich für lange Zeit) viele community-getriebene Projekte wie z.B. OpenVPN oder einige nicht kommerzielle https-Server quasi offen oder zumindest leicht knackbar. Sogar Sophos musste einräumen, dass einige seiner Appliances (früher "Astaro") anfällig sind. http://blogs.sophos.com/2014/04/08/important-note-openssl-vulnerability-cve-2014-0160-in-sophos-utm/
Bezeichnend fand ich die umgehende (!) Reaktion der NSA, die sofort eine Kenntnis dieser Schwachstelle bestritten hat, wo sie doch sonst so zögerich mit der Preisgabe von Informationen ist.
Was sagt ihr dazu? Hat jemand von euch schon mal seine Services getestet?
