The Heartbleed Bug

[AnonymusChaotic]

Hallo an alle,
Kürzlich wurde in der open SSL-Libary ein schwerer Bug gefunden, der es Hackern ermöglicht, unbemerkt und ohne Spuren zu hinterlassen in Computersysteme einzusteigen, Passwörter herauszufinden usw.

SSL / TLS-Kommunikation bietet Sicherheit und Privatsphäre im Internet für Anwendungen wie Web, E-Mail, Instant Messaging (IM) und einige virtuelle private Netzwerke (VPNs).

Weitere Infos findet ihr unter: www.heartbleed.com, das ist eine extra zu diesem Thema eingerichtete Informationsseite.
Sowie der Infoseite von Mojang:
https://mojang.com/2014/04/heartbleed/

Achja, fast hätte ich das Wichtigste vergessen:
1.) Ich empfehle alle Passwörter zu ändern,
2.) es existieren schon Versionen/Updates der Verschlüsselungs Software, die aber vermutlich noch wochen brauchen werden, um auf (fast) allen Servern installiert zu sein.


Ich ersuche darum, den Beitrag in den Kommis zu ergänzen, ich habe da leider zu wenig Fachwissen.

Viel Spaß noch,
Harald/ AnonymusChaotic

 

[Benni1000]

in Computersysteme einzusteigen

Jein. Der Bug kann nur dazu genutzt werden um in 64k Blöcken Arbeitsspeicher auszulesen.
Ist das Administratorpasswort da drin ist es möglich, aber es ist eher unwahrscheinlich.
Was das ganze noch schlimmer macht ist das man zu 100% von openssl reservierten Speicher
trifft.

Das Problem ist das die Heartbeat extension von openssl nicht überprüft ob genug Bytes vom Client
übermittelt wurden. Der Client kann ansagen das er eine payload von 64k schickt und kann nur ein byte senden.
Openssl checkt das nicht und beginnt mit memcpy Arbeitsspeicher zu leaken.

Edit: relevant xkcd: http://xkcd.com/1354