Login
Newsletter
Werbung

Thema: OpenSSL: Mein Herz blutet

26 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von busmeister am Di, 8. April 2014 um 09:45 #

OpenSSL fällt nicht das erste mal mit solchen Knallern auf.

  • 0
    Von koffein am Di, 8. April 2014 um 10:02 #

    Naja, GnuTLS hat sich ja letzthin ebensowenig hervorgetan... ob PolarSSL verschont bleibt?

    Wie das Debian Advisory sagt: Alle private keys müssen als kompromitiert betrachtet werden und sollten gewechselt werden. Ob das in der Praxis auch so gemacht wird und ob sich Admins überall den Aufwand leisten könnten (Zeit), hunderte wenn nicht tausende neuer Keys und CSRs zu machen und bei den CAs zu signieren, sei mal dahingestellt.

    Ich hoffe gerade diese CAs, die normalerweise Geld für die revocation verlangen mal einmal ein Auge zudrücken und ihre Kunden aktiv dazu auffordern die Zertifikate zu erneuern - und bitteschön mit einem frischen Schlüsselpaar.

    0
    Von karin am Di, 8. April 2014 um 10:02 #

    Dann sollten wir etwas dagegen tun.
    Neu schreiben oder code review? Inzwischen dürften die meisten gefunden sein. Neu schreiben würde neue Bugs bedeuten.

    Ob das wohl die NSA war?

    Warscheinlich haben auch die ganzen gehackten email Accounts eine Verbindung mit dem SSL Bug.

    0
    Von -.,.-.-,.-,.-,.- am Do, 10. April 2014 um 01:01 #

    Die Sicherheitslücke ist absolut katastrophal. Die ist mit dem vergleichbar, was Debians verantwortlicher Maintainer seinerzeit unabsichtlich angestellt hat.

    Auch Tor-Nutzer dürfen sich darüber freuen:
    https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

    IMO sollte man Openssl komplett einstampfen und nochmals ganz von vorne anfangen.

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung