[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] OpenSSL har allvarlig säkerhetslucka, Heartblead

To: David Kronlid <david@xxxxxxxxxxx>
Subject: Re: [DFRI-listan] OpenSSL har allvarlig säkerhetslucka, Heartblead
From: Per Andersson <avtobiff@xxxxxxxxx>
Date: Thu, 10 Apr 2014 19:45:38 +0200
Cc: DFRI-listan <listan@xxxxxxxxxxxxx>, Non Return Zero <non.return.zero@xxxxxxxxx>
In-reply-to: <CAD8S_FVr+H3SPKwmWE9-AVLawR9AUmgyvQwd1e-g2kZFexBrsA@mail.gmail.com>
References: <CADUbsfry3MeOdfHQKwLZ-YE=AnCewY7=RWX7F2oiwOqV1wMF8Q@mail.gmail.com> <CABYrXSQE6Qr6f4+yYKF4oidfR+cMQE6V8=Udp399LbCDwAO_FA@mail.gmail.com> <CAD8S_FVr+H3SPKwmWE9-AVLawR9AUmgyvQwd1e-g2kZFexBrsA@mail.gmail.com>

2014-04-10 14:12 GMT+02:00 David Kronlid <david@xxxxxxxxxxx>:
> Det räcker att köra vanliga apt-get update och apt-get upgrade, så har
> distrot en egen patchad openssl utan sårbarheten. Sannolikt har de bara
> stängt av heartbeat där sårbarheten finns.

Sannolikt är att om de kör Raspbian att det installeras från ett normalt
Debian-arkiv och då gäller

    https://www.debian.org/security/2014/dsa-2896

För wheezy är det då en patchad 1.0.1e som är aktuell. Patchen som
finns i Debian stänger inte av TLS/DTLS Heartbeat Extension utan
inkluderar fixen från OpenSSL upstream.

    http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db9023b881d7cd9f379b0c154650d6c108e9a3

Det fanns tyvärr inget lätt sätt att surfa fram changelogs eller patchar på
internet, utan en får kolla i källpaketet.


> Jag har uppdaterat mina servrar och privata linuxdatorer, varken Ubuntu
> eller OpenSUSE har valt att skicka ut openssl 1.0.1g utan istället patchat
> sina egna äldre versioner av openssl.
>
> Om DFRI inte redan har ordnat det så kan jag rekommendera att installera
> "unattended upgrades" plus att se till att det skickar ett meddelande när
> severn behöver startas om.

Låter farligt imho. Vissa saker är bra att göra med handpåläggning.


--
Per


> MVH, David
>
> Den 10 apr 2014 12:27 skrev "Per Andersson" <avtobiff@xxxxxxxxx>:
>>
>> On Thu, Apr 10, 2014 at 11:47 AM, Non Return Zero
>> <non.return.zero@xxxxxxxxx> wrote:
>> > Se http://filippo.io/Heartbleed/
>> >
>> > Jag testade DFRIPi TORnoderna (Raspberry Pi) och de har sårbarheten.
>>
>> Uppgradera till OpenSSL 1.0.1g omgående.
>>
>>
>> --
>> Per
>>
>>
>> > Mvh
>> >
>> > nrz
>>
>> --
>> DFRI-listan Ã¤r Ã¶ppen fÃ¶r alla.
>> Listan arkiveras och publiceras Ã¶ppet pÃ¥ internet.
>> http://dir.gmane.org/gmane.org.user-groups.dfri
>>
>

--
DFRI-listan Ã¤r Ã¶ppen fÃ¶r alla.
Listan arkiveras och publiceras Ã¶ppet pÃ¥ internet.
http://dir.gmane.org/gmane.org.user-groups.dfri

References:
- [DFRI-listan] OpenSSL har allvarlig säkerhetslucka, Heartblead
  - From: Non Return Zero
- Re: [DFRI-listan] OpenSSL har allvarlig säkerhetslucka, Heartblead
  - From: Per Andersson
- Re: [DFRI-listan] OpenSSL har allvarlig säkerhetslucka, Heartblead
  - From: David Kronlid

Prev by Date: RE: [DFRI-listan] DLD officiellt dött
Next by Date: Re: [DFRI-listan] Internets styrning - MSism
Previous by thread: Re: [DFRI-listan] OpenSSL har allvarlig säkerhetslucka, Heartblead
Next by thread: [DFRI-listan] DLD officiellt dött
Index(es):
- Date
- Thread