[Postfixbuch-users] Sicherheitsproblem in OpenSSL Verschlüsselung
Beat Jucker
beat at juckers.ch
Di Apr 8 18:33:23 CEST 2014
Dürfte sicher auch in dieser Diskussionsrunde von Interesse sein:
Wer mit OpenSSL Verschlüsselung (SSL/TLS) arbeitet, fühlt sich leider in
falscher Sicherheit ... bei OpenSSL Version 1.0.1 and 1.0.2 kann der
private Schlüssel gelesen werden, *OHNE* dass dies bemerkt wird
(hinterlässt keine Spuren)! Details siehe http://heartbleed.com/
Dieser Bug wurde gestern entdeckt und auch bereits geflickt
(openssl-1.0.1g). Jetzt müssen nur noch die entsprechenden OpenSSL
Versionen ausgetauscht werden, was sicher länger dauern wird.
Betroffen sind zum Beispiel viele Web- und Email-Services wie HTTPS,
SMTPS, IMAPS, etc
-------------------------------------------------------------
OpenSSL Security Advisory [07 Apr 2014]: TLS heartbeat read overrun
(CVE-2014-0160)
A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.
Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl at chromium.org> and Bodo Moeller <bmoeller at acm.org> for
preparing the fix.
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
1.0.2 will be fixed in 1.0.2-beta2.
-------------------------------------------------------------
Gruss
-- Beat
Mehr Informationen über die Mailingliste Postfixbuch-users