3. frage zum debian-openssl-bug

frage zum debian-openssl-bug

  • ?

    Achtet mal so am Rande auf die Jahreszahl:

    Die erste betroffene Version war 0.9.8c-1, die am 17. September 2006 in den Unstable-Zweig der Distribution gelangte und von dort auch in die mittlerweile stabile Version 4.0 alias "Etch".

    0
  • R

    http://metasploit.com/users/hdm/tools/debian-openssl/

    0
  • B

    rüdiger schrieb:

    http://metasploit.com/users/hdm/tools/debian-openssl/

    Q: How long did it take to generate these keys?
    A: About two hours for the 1024-bit DSA and 2048-bit RSA keys for x86. I used 31 Xeon cores clocked at 2.33Ghz. I am generating the RSA 4096-bit keys now and the total time should be about 18 hours.

    oh wow, das ging dann doch nen bisschen schneller als ich erwartet hätte. zum glück ist gpg nicht betroffen, ich glaube da wäre das geschreie riesig 😮.

    0
  • ?

    gentoo user schrieb:

    scheint mit diesem code wohl nicht vertraut genug gewesen zu sein und ist außerdem kein mitglied des core developer teams laut openssl homepage. vielleicht wurde er auch falsch verstanden.

    Es gab zwei Probleme: Kurt Roeckx sprach vom Debuggen von Anwendungen, nicht davon, dass er Debian patchen wollte, und er behauptete, dass "buf" in Zeile 247 ein uninitialisierter Buffer sei. Nun kenne ich tatsächlich nicht alle 625000 Zeilen auswendig, und da wirklich auch uninitialisierte Buffer in den Pool eingemischt werden und seine Mail wie eine allgemeine Diskussion zum Thema Entropie daherkam, habe ich keinen Grund gesehen, in den Programmcode zu schauen - und mich dafür ausgesprochen, die uninitialisierten Buffer beim Debuggen wegzulassen. Seine Behauptung war aber leider falsch; Zeile 247 ist die einzige Stelle, an der buf, das Argument von ssleay_rand_add(), überhaupt dereferenziert wird! Um das zu merken, muss man mit dem Code auch nicht besonders vertraut sein.

    Wenn er den Grund seiner Anfrage erwähnt oder um eine Prüfung seines Patches gebeten hätte, hätte ich mir den Kontext angesehen und er hätte eine ganz andere Antwort bekommen. Dumm gelaufen. Das eigentliche Problem ist aber, dass Debian einzelne Personen sicherheitsrelevante Änderungen machen lässt, ohne dass die von irgendjemandem geprüft werden.

    0
  • ?

    es zeigt, dass die kommunikation zwischen distributionen und maintainern verstärkt werden muss. die development mailinglisten sind dafür zu schwach. zu leicht gehen dort wichtige mails in der flut der anderen unter. das gilt nicht nur für openssl und debian. bei gentoo sieht man wie heftig es nötig ist, als stabil releasete pakete noch mal zu patchen. diese geschichte hier wird, ob wir wollen oder nicht, sehr negative auswirkungen auf open source haben. so ein schwerwiegender bug in einer sonst als sicher geltenden distribution in einem so extrem zentralen paket wird kaum einen guten eindruck hinterlassen. deshalb kann man die maintainer der distributionen und der pakete nur dringenst bitten, sich mehr um die kommunikation zu kümmern. vielfach ist leider das problem, dass sich die maintainer total vor vorschlägen von außen abschotten und nix wissen wollen. jeder andere kann nichts und die maintainer sind die götter auf der tastatur. sowas ist traurig.

    0
  • N

    gentoo user schrieb:

    jeder andere kann nichts und die maintainer sind die götter auf der tastatur. sowas ist traurig.

    Irgendwie interpretierst Du da schon eine Menge hinein, meinst Du nicht?

    0
  • ?

    http://blog.pas-un-geek-en-tant-que-tel.ch/archives/2008/05/13/Blind_trust_in_valgrind_-_the_Debian_OpenSSL_vulnerability/
    weiß jemand genaueres über die vorwürfe gegen gnutls? sind sie berechtigt?

    0
  • R

    Was mich stört, dass die OpenSSL und Debian Leute sich hier versuchen gegenseitig etwas in die Schuhe zu schieben. Dabei sind eindeutig Fehler auf beiden Seiten passiert. Ich hoffe, dass die entsprechenden Konsequenzen auch auf beiden Seiten gezogen werden. Jetzt rumzustänkern bringt weder den OpenSSL, noch den Debian Leuten etwas.

    gentoo user schrieb:

    http://blog.pas-un-geek-en-tant-que-tel.ch/archives/2008/05/13/Blind_trust_in_valgrind_-_the_Debian_OpenSSL_vulnerability/
    weiß jemand genaueres über die vorwürfe gegen gnutls? sind sie berechtigt?

    Der Artikel ist absoluter Blödsinn. Fängt damit an, dass er das Problem falsch darstellt und die Vorwürfe gegenüber gnutls sind lächerlich. gnutls benutzt libgcrypt, was von gnupg abstammt und somit eine sehr lange Geschichte hat.

    0
  • ?

    mal zuum thema passend: http://xkcd.com/424/

    0
  • ?

    rüdiger schrieb:

    Was mich stört, dass die OpenSSL und Debian Leute sich hier versuchen gegenseitig etwas in die Schuhe zu schieben. Dabei sind eindeutig Fehler auf beiden Seiten passiert. Ich hoffe, dass die entsprechenden Konsequenzen auch auf beiden Seiten gezogen werden. Jetzt rumzustänkern bringt weder den OpenSSL, noch den Debian Leuten etwas.

    endlich jemand, der meiner meinung ist.

    rüdiger schrieb:

    Der Artikel ist absoluter Blödsinn. Fängt damit an, dass er das Problem falsch darstellt und die Vorwürfe gegenüber gnutls sind lächerlich. gnutls benutzt libgcrypt, was von gnupg abstammt und somit eine sehr lange Geschichte hat.

    seh ich auch so. vor allem ist das problem, dass timing attacks wohl auf einem pc kaum realistisch sind. es gibt viel zu viele faktoren, die die ausführungsgeschwindigkeit einer funktion beeinflussen. sowas verwendet man bei smart cards. ein anderes argument ist, dass der chefentwickler von gnutls mathematiker ist, also genau das, was in diesem blog eintrag gefordert wird.

    0
Anmelden zum Antworten