Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 51 replies
  • Subscribers 25 subscribers
  • Views 21297 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Update für OpenSSL

moddix
Hallo zusammen,

habt ihr das Update gemacht betreffend OpenSSL?

Infos:

Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise Security

Sophos UTM v.9.201023
News
 - Official 9.2 GA Release - update from 9.200
 - Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)


This thread was automatically locked due to age.
Parents
  • 0
    Sicherheitsmaßnahme die tatsächlich durchgeführt werden sollte, wenn einem die Sicherheit und Vertraulichkeit wichtig sind.

    Die Lücke könnte in der Vergangenheit ausgenutzt worden sein und z.B. der Private-Key eines oder mehrerer Zertifikate abgegriffen. Wenn die Zertifikate nicht erneuert werden, kann in diesem Fall weiterhin abgehört oder manipuliert werden. Bei Server-Zertifikaten umso fataler: Ein erbeutetes Zertifikat kann für perfektes Phishing genutzt werden, z.B. das einer Bank. Deswegen müssen solche Zertifikate unbedingt auch von der Zertifizierungsstelle zurückgezogen werden.

    Das Problem ist: Man weiß es nicht ob und was abgegriffen wurde! Es gibt keinerlei Logs oder Hinweise ob die Lücke ausgenutzt wurde. Allein diese Tatsache sollte jedem zu denken geben, ob man den Trust wiederherstellen muss.
  • 0 in reply to trollvottel
     und z.B. der Private-Key eines oder mehrerer Zertifikate abgegriffen. Wenn die Zertifikate nicht erneuert werden, kann in diesem Fall weiterhin abgehört oder manipuliert werden. 
     Die sogenannte Man-in-the-Middle-Attack? Und dazu die Zertifikate, die nicht in den CRLs stehen? Wieso heißt es eigentlich immer, die Zertifikate müssen getauscht werden und "wir" brauchen ein neues CSR dafür - aber fast nirgends steht, dass das alles sinnfrei ist, wenn der gleich Key genutzt wird! Hier geht man von der allgemeinen Annahme aus, dass die dafür genutzten Prozesse immer einen neuen Key generieren.

    Meiner Meinung nach ist das ein Ereignis, das beweist, wir relevant Produkthaftung auch bei Software wird. Und damit meine ich nicht OpenSSL, sondern Sophos, F-Secure, Cisco etc.
Reply
  • 0 in reply to trollvottel
     und z.B. der Private-Key eines oder mehrerer Zertifikate abgegriffen. Wenn die Zertifikate nicht erneuert werden, kann in diesem Fall weiterhin abgehört oder manipuliert werden. 
     Die sogenannte Man-in-the-Middle-Attack? Und dazu die Zertifikate, die nicht in den CRLs stehen? Wieso heißt es eigentlich immer, die Zertifikate müssen getauscht werden und "wir" brauchen ein neues CSR dafür - aber fast nirgends steht, dass das alles sinnfrei ist, wenn der gleich Key genutzt wird! Hier geht man von der allgemeinen Annahme aus, dass die dafür genutzten Prozesse immer einen neuen Key generieren.

    Meiner Meinung nach ist das ein Ereignis, das beweist, wir relevant Produkthaftung auch bei Software wird. Und damit meine ich nicht OpenSSL, sondern Sophos, F-Secure, Cisco etc.
Children
  • 0 in reply to K.N.
     Die sogenannte Man-in-the-Middle-Attack? Und dazu die Zertifikate, die nicht in den CRLs stehen? Wieso heißt es eigentlich immer, die Zertifikate müssen getauscht werden und "wir" brauchen ein neues CSR dafür - aber fast nirgends steht, dass das alles sinnfrei ist, wenn der gleich Key genutzt wird! Hier geht man von der allgemeinen Annahme aus, dass die dafür genutzten Prozesse immer einen neuen Key generieren.  Meiner Meinung nach ist das ein Ereignis, das beweist, wir relevant Produkthaftung auch bei Software wird. Und damit meine ich nicht OpenSSL, sondern Sophos, F-Secure, Cisco etc.
      Wir raten jedem betroffenem Kunden nicht nur die eigentlichen Certs auszutauschen sondern natürlich auch die betroffenen CAs. Das steht auch in unserer Knowledgebase. CRLs sind eine tolle Idee nur hält sich in der Praxis niemand daran z. Bsp. die Browserhersteller.