Update nach SSL-Bug

#1
Hallo Zusammen,

ich habe eine Verständnisfrage. Nach dem SSL-Bug habe ich meine neuen Zertifikate für Apache installiert. So weit verstehe ich auch alles.

Aber für Postfix usw sollte ich dann auch neue SSL-Keys erzeugen, oder? Und auch für ISP-Config?

Btw. Kann es sein, dass hier ein bisschen sehr dramatisiert wird? Ja, es kann Speicherinhalt ausgelesen werden. Aber nur ein bestimmter Teil. Und wenn ich pech habe, stehen dort Keys und Passwörter.

Oder kann ich den gesamten Speicher auslesen?
 

nowayback

Well-Known Member
#4
Hi,

hier geht es tatsächlich nicht um Dramatisierung. Die Keys konnten ausgelesen werden.
Wenn jemand kein PFS (Perfect Forward Secrecy) einsetzt bzw. eingesetzt hat, und dessen Keys entwendet wurden, so kann der Angreifer nun auch den kompletten vorhergehenden aufgezeichneten Datenstrom entschlüsseln - um es mal einfach auszudrücken.
Daran ändert es jetzt auch nichts wenn man sich nun neue Zertifikate erstellt.
Die neuen Zertifikate bringen erst ab dem Zeitpunkt der Erstellung was: nämlich das der Angreifer den aktuellen Datenstrom nicht mehr entschlüsseln kann. Deshalb sollten vorsorglich alle Keys ausgetauscht werden.
Bei den meisten CA's geht das kostenlos. Bei StartSSL jedoch nicht, soweit ich weiß.
Und wenn ich es richtig in Erinnerung habe, habe ich heute oder gestern gelesen das ein Admin schon im November letztes Jahr Hinweise in seinen Logs gefunden hat, die auf den Heartbleed Angriff deuten. Daher kann man auch nicht sagen wie lange er schon ausgenutzt wird.

Edit: Gerade reingekommen: http://www.heise.de/newsticker/meld...ktioniert-der-Heartbleed-Exploit-2168051.html mit Verweis auf: http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html

Hoffe ich konnte dir bissl helfen

Grüße
nwb
 
Zuletzt bearbeitet:

Werbung