Der SSH-Server implementiert zwar die kaputte OpenSSL-Version nutzt
aber *kein* TLS und ist somit nicht von dem Bug betroffen.

Es gibt bei dem System aber noch eine andere nicht geschlossen Lücke
bzgl. OpenSSH.

Auszug aus dem changelog:

# aptitude changelog openssh-server

openssh (1:6.0p1-4+deb7u1) stable-security; urgency=high

  * CVE-2014-2532: Disallow invalid characters in environment variable
names
    to prevent bypassing AcceptEnv wildcard restrictions.
  * CVE-2014-2653: Attempt SSHFP lookup even if server presents a
    certificate (closes: #742513).

 -- Colin Watson <cjwatson@debian.org>  Thu, 03 Apr 2014 00:05:17 +0100

lg,
Tilo


Am 09.04.2014 10:15, schrieb Phillip Wirth:
> Mindestens sshd benötigt openssl. Vielleicht ist auch ein exim4
> installiert. Das wäre auch betroffen. Bei mutt weiß ichs leider
> nicht ;)

> Die Mongo Kisten sind wohl auch betroffen... pwirth@mongo07:~$
> openssl OpenSSL> version OpenSSL 1.0.1 14 Mar 2012


> Am 09.04.2014 10:07, schrieb Tilo Werner:
>> Ja, der ist wie alle Debian 7 aka Wheezy Maschinen betroffen.
>>
>> Dort sind aber auch so
>>
>> - 52 Sicherheitsaktualisierungen - 91 normale Aktualisierungen
>>
>> offen...
>>
>> Die nächste Frage ist, welcher Dienst dort mit OpenSSL läuft?
>>
>> lg, Tilo
>>
>> Am 09.04.2014 09:35, schrieb Phillip Wirth:
>>> Huhu,
>>
>>> kannst du uns sagen welche Versionen genau betroffen sind? Auf
>>> bolek läuft z.B. root@bolek /home/pwirth # openssl OpenSSL>
>>> version OpenSSL 1.0.1e 11 Feb 2013
>>
>>> Nach einem Update bei mir zu hause musste ich alle Programme
>>> die openssl in irgendeiner weise verwenden bevor die gewünschte
>>> Wirkung eintraf. (Kommt glaube ich auch bei der Update
>>> routine)
>>
>>
>>
>>
>>> Am 08.04.2014 23:49, schrieb Tilo Werner:
>>>> Hallo,
>>>>
>>>> wie das Netz heute berichtete gab/gibt es einen OpenSSL-Bug,
>>>> der heute veröffentlicht worden ist [1]. Dazu gibt es auch
>>>> Testseiten, die das Verhalten der evtl. betroffenen
>>>> Server/Dienste testen [2].
>>>>
>>>> Ich habe eben unsere Dienste getestet:
>>>>
>>>> * mx1.mailmanager.de -> nicht betroffen, da zu alt *
>>>> stellvertretend für die alten Systeme (Lenny/Apache2.2)
>>>> service01.jt.xres.de -> nicht betroffen, da zu alt *
>>>> {for,xpur,hocl}.xres.de -> betroffen und behoben * *.traso.de
>>>> -> betroffen und behoben
>>>>
>>>> Falls euch zusätzlich noch Dienste/Server einfallen, dann
>>>> werde ich diese morgen aktualisieren.
>>>>
>>>> Auch werde ich prüfen, ob wir für die verwundeten System die
>>>> SSL-Schlüssel neu ausstellen lassen.
>>>>
>>>> [1]
>>>>
>> http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
>>
>>
>>
>>>>
>> [2] http://filippo.io/Heartbleed/
>>>>
>>>> lg, Tilo
>>>>
>>>> _______________________________________________ team mailing
>>>> list team@lists.traso.de
>>>> https://lists.traso.de/listinfo/team
>>
>>> --
>>
>>> Mit freundlichen Grüßen
>>
>>> Phillip Wirth - Entwicklung -
>>> ________________________________________________________ TraSo
>>> GmbH
>>
>>> Georg-Schumann-Str. 294 D-04159 Leipzig
>>
>>> E-Mail: p.wirth@traso.de Internet: http://www.traso.de
>>
>>> ________________________________________________________
>>> Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht
>>> Leipzig, HRB 21850
>>
>>
>>
>>> _______________________________________________ team mailing
>>> list team@lists.traso.de https://lists.traso.de/listinfo/team
>>
>>
>>
>> _______________________________________________ team mailing
>> list team@lists.traso.de https://lists.traso.de/listinfo/team

> --

> Mit freundlichen Grüßen

> Phillip Wirth - Entwicklung -
> ________________________________________________________ TraSo
> GmbH

> Georg-Schumann-Str. 294 D-04159 Leipzig

> E-Mail: p.wirth@traso.de Internet: http://www.traso.de

> ________________________________________________________
> Geschäftsführer: Haiko Gerdes Handelsregister: Amtsgericht Leipzig,
> HRB 21850



> _______________________________________________ team mailing list
> team@lists.traso.de https://lists.traso.de/listinfo/team