Lücke in OpenSSL

anon77772267 · 16. April 2014 um 09:04

Uh, hab es bis jetzt nicht auf ein 64-Bit Linux ausprobiert. Ich dachte so etwas wie Buffer Overflow Protection hilft dagegen.

Fancy · 16. April 2014 um 09:14

Es hilft auch, jedoch muss man es erst explizit aktivieren.

[mschorn@desktop temp]$ gcc -lstdc++ -fstack-protector test.cpp 
[mschorn@desktop temp]$ ./a.out 
Username: 0123456789abcdef1
Pass: wrong!
Wrong username and password

Aber das Beispiel ist auch ziemlich einfach.

Viele Grüße
Fancy

TheDarkRose · 17. April 2014 um 08:35

Apropos, @mogel Chromebleed schreit das deine Seite mit Hearblead verwundbar ist.

mogel · 17. April 2014 um 13:29

ach mist - ich hatte ja experimentell auf HTTPS umgestellt

danke für die Info, wir gefixt sobalt ich wieder im Büro bin

TheDarkRose · 17. April 2014 um 13:34

Zertifikat tauschen ned vergessen ^^

TheDarkRose · 22. April 2014 um 08:55

Btw. auch Java ist nicht sicher vor SSL Attacken ^^ http://blog.fefe.de/?ts=adacb538 bzw. http://armoredbarista.blogspot.de/2014/04/easter-hack-even-more-critical-bugs-in.html

schlingel · 22. April 2014 um 09:42

SlaterB immitierend “Das ist aber kein Stackoverflow…”

Aber ja, was die bei OpenBSD gerade machen schaut vielversprechend aus. Pfeif auf Windows und pfeif auf die ganzen Exoten. Ist nur interessant ob’s dann noch auf ARM läuft.

TheDarkRose · 22. April 2014 um 10:01

LibreSSL ist auf jeden Fall beobachtenswert. Darauf zu switchen könnte sicher ne Alternative darstellen.

anon77772267 · 22. April 2014 um 11:15

Btw: Das SSL Protokoll und Zertifikat, die der Byte-Welt Server verwendet, sehen unsicher aus. (Siehe slllabs.com)
Ich finde man sollte das Zertifikat von Byte-Welt von einer Zertifizierungsstelle beglaubigt werden. Ich fände wäre CaCert dabei das Mindeste. Wenn nicht dann sollte man HTTPS ganz einfach abschalten.

anon77772267 · 24. April 2014 um 04:18

Ich hätte da noch etwas zum Sprachenbashing beizutragen: http://www.heise.de/open/meldung/Studie-zur-Softwarequalitaet-Open-Source-schlaegt-proprietaer-2175954.html

anon77772267 · 20. Mai 2014 um 07:11

Ein Präsentation von Änderungen von OpenSSL zu LibreSSL: http://www.openbsd.org/papers/bsdcan14-libressl/mgp00001.html
BTW: Weiß eigentlich irgendwer, wo die Comics in der Präsentation zu finden sind?

inv_zim · 20. Mai 2014 um 07:21

Ich muss gestehen, die aktuellen Aussagen des LibreSSL Teams sind an Arroganz kaum zu überbieten. Ständig werden irgendwelchen miesen Codestücke hervorgezerrt, es wird sich über den “crap” lustig gemacht. Vorher hat aber natürlich auch niemand sich die Mühe gemacht sich OpenSSL mal zu Gemüte zu führen, oder Hilfe anzubieten. Die halbe handvoll Entwickler die sich überhaupt dazu “herabgelassen” haben an OpenSSL mitzuarbeiten tun mir ganz ehrlich leid.

cmrudolph · 20. Mai 2014 um 07:37

Meinst du Dilbert?

anon77772267 · 20. Mai 2014 um 08:00

Ja, danke

schlingel · 21. Mai 2014 um 01:02

Those of us that loohed just hoped the upstream could deal with it.
We are all guilty

Naja, recht hat er ja schon. Auch wenn dass dieser 90s-Hacker-Humor ist.

Zu recht! Ist ja nicht so als wäre das ein reines Hobby-Projekt ohne Organisation die Geld in die Hand nehmen könnte.

Sollen die arrogant sein soviel sie wollen. Solange sie ihre gute Arbeit fortführen ist’s mir recht.

Bleiglanz · 21. Mai 2014 um 01:09

Ja, das kotzt mich auch an.

Als ob die jetzt bei LibreSSL auf einmal per Zauberei den ganz sauberen, eleganten und sicheren Programmierstil erfunden hätten. OpenSSL ist so geworden wie es ist nicht aus Bösartigkeit oder Dummheit…

Aber wir brauchen ja nur ein paar Monate oder Jahre warten, bis ein Riesenloch in LibreSSL auftaucht. Wird sehr peinlich, wenn man denen dann das arrogante Getue aus dem Jahr 2014 zeigt.

anon77772267 · 21. Mai 2014 um 06:17

, sondern aus?
Fehler in der Organisation, keiner wollte sich um den Quellcode entrümpeln oder Fehler beseitigen, Upstream vertraute OpenSSL zu viel an.

Bleiglanz · 21. Mai 2014 um 10:18

[QUOTE=mdickie], sondern aus?
Fehler in der Organisation, keiner wollte sich um den Quellcode entrümpeln oder Fehler beseitigen, Upstream vertraute OpenSSL zu viel an.[/QUOTE]
Ja genau, ein ganz normales Softwareprojekt, das mehrere Jahre läuft mit Entwicklerwechseln. Nichts besonderes.

Was mich stört ist, dass jeder erfahrene Entwickler das Hochgefühl des Anfangs - mit dem leeren Editor, dem fertigen Modell und 100% erfolgreicher Tests - schon zigmal erlebt haben müsste. Aus diesem Hochgefühl heraus sich über einen 10+ Jahre alten Code lustig zu machen, das ist stark. Zumal völlig klar ist, dass der Tag kommen wird, in dem der erste Coder einen “Kompromiss” machen wird, einen Workaround (einfach weil zu viel Masse bei einem Refactoring betroffen wäre). Ab da geht es dann gaaaaanz gaaaanz langsam bergab.

Schon zigmal erlebt. Es wirkt auf mich so, als wären da absolute Neulinge am Werk - oder alte Hasen mit Größenwahn.

schlingel · 22. Mai 2014 um 02:25

Alles richtig, aber eigenes Memory Management auf einem selbst gestricktem malloc ist kein Kompromiss sondern ein Verbrechen. Und es ist ja nicht so als würden sie nicht sagen: „Mea Culpa, wir hätten uns früher einmischen müssen.“

Bleiglanz · 22. Mai 2014 um 04:00

Stimmt auch wieder - das selbst gemachte malloc war schon ein kolossaler Murks. Dass da einen Haufen schief gelaufen ist - das ist ja belegt. Aber diese Überheblichkeit und Selbsteinschätzung, man würde jetzt alles besser machen, das kann nicht gutgehen.

Der Heartbleed-Bug war ja auch nichts anderes als ein ganz simpler Programmierfehler (vergessen, den Speicher auszuradieren und vergessen, den Übergabewert zu checken). Das könnte doch jedem passieren, also meine Bugs - und das sind mittlerweile tausende - waren oft von der Bauart. Nur hat man eben manchmal das Pech, dass der Bug erst ganz spät erkannt wird