:D Okay jetzt bin ich still :D Ich bleib noch ein bisschen auf der grünen Wiese :D Am 09.04.2014 10:28, schrieb Tilo Werner:
Der SSH-Server implementiert zwar die kaputte OpenSSL-Version nutzt aber *kein* TLS und ist somit nicht von dem Bug betroffen.
Es gibt bei dem System aber noch eine andere nicht geschlossen Lücke bzgl. OpenSSH.
Auszug aus dem changelog:
# aptitude changelog openssh-server
openssh (1:6.0p1-4+deb7u1) stable-security; urgency=high
* CVE-2014-2532: Disallow invalid characters in environment variable names to prevent bypassing AcceptEnv wildcard restrictions. * CVE-2014-2653: Attempt SSHFP lookup even if server presents a certificate (closes: #742513).
-- Colin Watson <cjwatson@debian.org> Thu, 03 Apr 2014 00:05:17 +0100
lg, Tilo
Am 09.04.2014 10:15, schrieb Phillip Wirth:
Mindestens sshd benötigt openssl. Vielleicht ist auch ein exim4 installiert. Das wäre auch betroffen. Bei mutt weiß ichs leider nicht ;)
Die Mongo Kisten sind wohl auch betroffen... pwirth@mongo07:~$ openssl OpenSSL> version OpenSSL 1.0.1 14 Mar 2012
Am 09.04.2014 10:07, schrieb Tilo Werner:
Ja, der ist wie alle Debian 7 aka Wheezy Maschinen betroffen.
Dort sind aber auch so
- 52 Sicherheitsaktualisierungen - 91 normale Aktualisierungen
offen...
Die nächste Frage ist, welcher Dienst dort mit OpenSSL läuft?
lg, Tilo
Am 09.04.2014 09:35, schrieb Phillip Wirth:
Huhu,
kannst du uns sagen welche Versionen genau betroffen sind? Auf bolek läuft z.B. root@bolek /home/pwirth # openssl OpenSSL> version OpenSSL 1.0.1e 11 Feb 2013
Nach einem Update bei mir zu hause musste ich alle Programme die openssl in irgendeiner weise verwenden bevor die gewünschte Wirkung eintraf. (Kommt glaube ich auch bei der Update routine)
Am 08.04.2014 23:49, schrieb Tilo Werner:
Hallo,
wie das Netz heute berichtete gab/gibt es einen OpenSSL-Bug, der heute veröffentlicht worden ist [1]. Dazu gibt es auch Testseiten, die das Verhalten der evtl. betroffenen Server/Dienste testen [2].
Ich habe eben unsere Dienste getestet:
* mx1.mailmanager.de -> nicht betroffen, da zu alt * stellvertretend für die alten Systeme (Lenny/Apache2.2) service01.jt.xres.de -> nicht betroffen, da zu alt * {for,xpur,hocl}.xres.de -> betroffen und behoben * *.traso.de -> betroffen und behoben
Falls euch zusätzlich noch Dienste/Server einfallen, dann werde ich diese morgen aktualisieren.
Auch werde ich prüfen, ob wir für die verwundeten System die SSL-Schlüssel neu ausstellen lassen.
[1]
http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-...
[2] http://filippo.io/Heartbleed/
lg, Tilo
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
--
Mit freundlichen Grüßen
Phillip Wirth - Entwicklung - ________________________________________________________ TraSo GmbH
Georg-Schumann-Str. 294 D-04159 Leipzig
E-Mail: p.wirth@traso.de Internet: http://www.traso.de
________________________________________________________ Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht Leipzig, HRB 21850
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
--
Mit freundlichen Grüßen
Phillip Wirth - Entwicklung - ________________________________________________________ TraSo GmbH
Georg-Schumann-Str. 294 D-04159 Leipzig
E-Mail: p.wirth@traso.de Internet: http://www.traso.de
________________________________________________________ Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht Leipzig, HRB 21850
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
_______________________________________________ team mailing list team@lists.traso.de https://lists.traso.de/listinfo/team
-- Mit freundlichen Grüßen Phillip Wirth - Entwicklung - ________________________________________________________ TraSo GmbH Georg-Schumann-Str. 294 D-04159 Leipzig E-Mail: p.wirth@traso.de Internet: http://www.traso.de ________________________________________________________ Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht Leipzig, HRB 21850