Ankündigung

Einklappen
Keine Ankündigung bisher.

- √ - Info zu OpenSSL GAU (CVE-2014-0160)

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    [wiregate] - √ - Info zu OpenSSL GAU (CVE-2014-0160)

    Das wichtigste vorab:
    Das WireGate direkt ist nicht betroffen!

    Aber nun der Reihe nach:
    Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise online

    Jedoch möglicherweise OpenVPN-Clients (nicht vom Wiregate heruntergeladene sondern aus anderen Quellen).

    Wie kann man es prüfen:
    - Mit dem Explorer ins Verzeichnis <Programme>\openvpn\bin
    - Eigenschaften von libeay32.dll -> Version -> Dateiversion
    Wenn diese grösser 1.0 und kleiner 1.0.1g ist man betroffen.
    0.9.8 ist nicht betroffen.
    - Selbiges gilt natürlich auch für OSX-Client etc. sowie alles was OpenSSL verwendet, also fast alles was irgendwie TLS/SSL macht..

    Es wird sicherlich bald ein Update der OpenVPN-Clients geben, Info folgt dann.
    Edit: OpenVPN-Client / Windows Installer mit Fix: https://openvpn.net/index.php/open-s...downloads.html

    Unsere Server sind - soweit betroffen - natürlich bereits upgedatet.

    Makki
    EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
    -> Bitte KEINE PNs!
    Stichworte: -
    #2
    Respekt. Vielen Dank für die unaufgeforderte, ausführliche und gute Beschreibung.
    Ich hab mich beim lesen der News heute schon gefragt, und sicherheitshalber mal das Port-Forwarding zum WG-VPN rausgenommen. Schön, dass das Thema sich (zumindest an dieser Stelle) so schnell geklärt hat. Da können weit größere sich mal ein Beispiel nehmen.

    Danke!

    Edit: Eine Frage hab ich aber doch noch. Mal angenommen, man würde wirklich ausschliessen wollen, dass der Private-Key kompromitiert ist, müsste man dazu doch ein neues Schlüsselpaar erzeugen, korrekt? Ich hab mich selbst noch nicht damit beschäftigt, aber da wäre evt. eine Anleitung für andere die auch ein WG haben sinnvoll.

    Kommentar

      #3
      Danke

      Zitat von luigi4711 Beitrag anzeigen
      Edit: Eine Frage hab ich aber doch noch. Mal angenommen, man würde wirklich ausschliessen wollen, dass der Private-Key kompromitiert ist, müsste man dazu doch ein neues Schlüsselpaar erzeugen, korrekt?
      Korrekt.
      Die Lücke existiert seit >2J, es kann jedoch nur der Client-Key kompromittiert sein! (ist natürlich hier schon etwas sehr theoretisch, weil um den Client zu kompromittieren müsste man MiTM sein und das wiederum wird durch TA/PFS eh verhindert..)
      Also für ganz sorgfältige/paranoide: nach dem Update: einen neuen Client(Zertifikat) erstellen und das alte löschen. Geht alles mit normalen Bordmitteln/Webif..

      Für notwendig halte ich es aber - nach bestem Wissen und Gewissen - hier (OpenVPN/WG) nicht.
      Das sieht bei sämtlichen Webservern etc. anders aus, da muss man annehmen, das der Private-Key kompromittiert sein könnte falls eine verwundbare Version jemals verwendet wurde - und damit auch nach einem Update alles mitgelesen werden kann (!sigh!)

      Makki
      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
      -> Bitte KEINE PNs!

      Kommentar

        #4
        nochmal Danke!

        Kommentar

          #5
          Also langsam lichtet sich die Faktenlage:

          - Durch den Einsatz von TLS-AUTH (Standard: an) ist auch bei verwundbaren OpenVPN-Clients nicht von einer Kompromittierung auszugehen.
          -> Trotzdem sollte ein Update der Clients zeitnah erfolgen, insbesondere wenn man den Client noch anderweitig einsetzt!
          Mittlerweile gibts auch ein "richtiges" Release OpenVPN 2.3.3

          Ansonsten ist WireGate-seitig nichts betroffen, das gilt auch für indivduelle:
          - Apache / Reverse-Proxy
          - lighttpd mit SSL
          - ..
          da die auf dem WireGate verwendete libssl nie betroffen war/ist.

          Und jetzt gehts an die anderen 100 Geräte, was fürn Spass

          Makki
          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
          -> Bitte KEINE PNs!

          Kommentar

            #6
            Nur noch am Rande, auch wenn nur genau ein - nur intern genutzter Server - theoretisch überhaupt betroffen war, haben wir alle Keys erneuert, Zertifikate revoked, neu erstellen lassen.. Präventiv..
            Das ist bei dem krassen Bug auch angebracht, vermisse ich bei manch viel grösserem nach 72h aber noch
            So gut wie alles verwendet OpenSSL, selbst die, die es nicht zugeben..

            Im Chat vorhin habe ich aufgenommen, das der Umfang dieses Desasters den meisten wohl noch nicht ganz klar ist: das führt fast jegliche HTTPS/SSL-Verbindung ad-absurdum.
            Mitm WG/VPN sind wir jetzt erstmal fein raus, weils richtig gemacht wurde - beim Rest ist das aber ein echt fettes Problem das den NSA-Skandal locker in den Schatten stellt..

            Makki
            EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
            -> Bitte KEINE PNs!

            Kommentar

              #7
              Ach was .
              Die Telekoma und UI verschlüsseln och jetzt alles für uns...
              SCNR.

              Kommentar

                #8
                Deswegen verschlüssele ich eMails seit 1998 auch mit PGP/GPG (mit unverändertem Key, weil nie kompromittiert!)

                Aber das wollen die meisten nicht hören, weil Security ja kompliziert/umständlich ist

                5 von 7 getesteten Browsern prüfen die CRL für revokte Zertikate ja auch einfach garnicht, weils einfacher ist und weniger Fehlermeldungen produziert - ein Trauerspiel.. (und ich meine Ausnahmsweise nicht nur den IE!)
                Wer jetzt nicht nur HBCI mit Smartcard macht, sollte sich auch ernsthafte sorgen machen, weil da waren sie alle dabei..

                Makki
                EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                -> Bitte KEINE PNs!

                Kommentar

                  #9
                  Hi Makki,

                  Zitat von makki Beitrag anzeigen
                  Deswegen verschlüssele ich eMails seit 1998 auch mit PGP/GPG (mit unverändertem Key, weil nie kompromittiert!)
                  woher weißt Du das?

                  Aus dem Grund sollte man regelmäßig, z.B. alle zwei Jahre, seine Zertifikate tauschen und dabei mit aktuellen Cryptoalgorithmen/Schlüsselängen arbeiten.

                  Bis bald

                  Marcus

                  Kommentar

                    #10
                    Zitat von makki Beitrag anzeigen

                    Es wird sicherlich bald ein Update der OpenVPN-Clients geben, Info folgt dann.
                    Edit: OpenVPN-Client / Windows Installer mit Fix: https://openvpn.net/index.php/open-s...downloads.html
                    Makki
                    Hi Makki,

                    weißt du zufällig ob von dem Problem auch der openVPN Manager betroffen ist ?!? Denn diesen muss ich ja nutzen aber ich find aktuell keine neuere Version als die 0.0.3.8

                    Kommentar

                      #11
                      Ich hab den OpenVPN Manager nicht installiert, kann ich daher gerade nicht prüfen.
                      Der bringt aber AFAIR kein eigenes OpenVPN/OpenSSL mit, das ist ja "nur" die GUI dafür(*).

                      Grundsätzlich: siehe oben: entscheidend ist die Version der libeay32.dll, das ruft ja auch nur die openvpn.exe auf, die sich auch händisch/anderweitig aktualisieren lassen sollte;

                      Nach jetzigem Wissenstand ist es aber immernoch kein dringendes Problem (s.o.) mit dem WG-VPN, da durch tls-auth der eigentliche Angriffspunkt so nicht ausnutzbar ist (ausser man hat die Keys schon..)

                      Makki

                      P.S./*: das Ding ist ganz praktisch, wenn man sehr viele davon hat..
                      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                      -> Bitte KEINE PNs!

                      Kommentar

                        #12
                        Zitat von mknx Beitrag anzeigen
                        Bis bald
                        Danke für den Hinweis, wenn du PGP dann auch selbst benutzt und nicht nur darüber redest, sprechen wir weiter, ok ?

                        Bis dann

                        Makki
                        EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                        -> Bitte KEINE PNs!

                        Kommentar

                        Vorherige template Weiter
                        Lädt...
                        X

                        Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                        Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                        Ich stimme zu