The Heartbleed Bug

Dieses Thema im Forum "Ankündigung" wurde erstellt von AnonymusChaotic, 10. April 2014.

  1. AnonymusChaotic
    Offline

    AnonymusChaotic

    Registriert seit:
    22. November 2013
    Beiträge:
    762
    Ort:
    Wien, Österreich
    Minecraft:
    AnonymusChaotic
    Hallo an alle,
    Kürzlich wurde in der open SSL-Libary ein schwerer Bug gefunden, der es Hackern ermöglicht, unbemerkt und ohne Spuren zu hinterlassen in Computersysteme einzusteigen, Passwörter herauszufinden usw.
    Weitere Infos findet ihr unter: www.heartbleed.com, das ist eine extra zu diesem Thema eingerichtete Informationsseite.
    Sowie der Infoseite von Mojang:
    https://mojang.com/2014/04/heartbleed/

    Achja, fast hätte ich das Wichtigste vergessen:
    1.) Ich empfehle alle Passwörter zu ändern,
    2.) es existieren schon Versionen/Updates der Verschlüsselungs Software, die aber vermutlich noch wochen brauchen werden, um auf (fast) allen Servern installiert zu sein.


    Ich ersuche darum, den Beitrag in den Kommis zu ergänzen, ich habe da leider zu wenig Fachwissen.

    Viel Spaß noch,
    Harald/ AnonymusChaotic
     
    #1
  2. Benni1000
    Offline

    Benni1000 Ehem. Teammitglied

    Registriert seit:
    4. Mai 2012
    Beiträge:
    1.408
    Jein. Der Bug kann nur dazu genutzt werden um in 64k Blöcken Arbeitsspeicher auszulesen.
    Ist das Administratorpasswort da drin ist es möglich, aber es ist eher unwahrscheinlich.
    Was das ganze noch schlimmer macht ist das man zu 100% von openssl reservierten Speicher
    trifft.

    Das Problem ist das die Heartbeat extension von openssl nicht überprüft ob genug Bytes vom Client
    übermittelt wurden. Der Client kann ansagen das er eine payload von 64k schickt und kann nur ein byte senden.
    Openssl checkt das nicht und beginnt mit memcpy Arbeitsspeicher zu leaken.

    Edit: relevant xkcd: http://xkcd.com/1354
     
    #2