[Eduard Bär]

Wie einige von euch sicherlich mitbekommen haben gabs eine ziemlich kritische Sicherheitslücke in OpenSSL, über die quasi beliebige Inhalte aus dem RAM des Servers gelesen werden können.

Wie sieht es diesbezüglich mit der WoP aus? Laut diesem Test ist der Forenserver verwundbar. False Positive oder ist die Lücke noch offen? Ich würde gerne mein Passwort ändern, das macht aber natürlich nur Sinn wenn die Lücke geschlossen wurde.

Quellen:
http://www.heise.de/newsticker/meldu...L-2165517.html
http://www.zeit.de/digital/datenschu...ecke-webserver

[Fizzban]

Der Patch ist eigentlich schon vor ein paar Stunden eingespielt worden. Also bei mir kommt auch "Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.". Das klingt nicht verwundbar.

[Eduard Bär]

Tatsache, vorhin waren aber noch keine aktiven Checks auf der Seite und das Ergebnis dementsprechend rot.

Danke für die Antwort.

[Deathweaver]

Soeben haben wir auch unser SSL Zertifikat erneuert. Es ist zwar in meinen Augen recht unwahrscheinlich, aber auch nicht auszuschließen, dass jemand durch die Luecke den privaten Schluessel gestohlen hat.

[Der-Orden-Xar]

Hängt damit auch zusammen, dass ich gerade einen Verbindungsfehler hatte?
laut Qualys wurde von eurer Seite aus das SSL/TLS-Zertifikat gesperrt?

Edit: Da wahr ich wohl mal wieder schnell Unterwegs, diese Aussage erklährt es.

[Deathweaver]

Ja leider muss man zunaechst das Zertifikat widerrufen (logisch), um dann ein neues zu beantragen und einzubauen. In der Zwischenzeit gibt es dann ein ungueltiges Zertifikat.

[MisterXYZ]

Wurde das nur für die Foren, oder auch für die einzelnen Netzwerkseiten gefixt?

[Sweil]

Soweit ich weiß haben seit heute Mittag auch alle* Netzerzwerkseiten ein neues Zertifikat. Der Patch auf dem Netzwerkseiten-Server wurde schon Anfang der Woche eingespielt.

Code:

* Folgende Seiten nutzen SSL:
www.worldofanno.de
www.2worlds-game.de
www.dragonage-game.de
www.thedivinity.de
www.worldofelderscrolls.de
www.the-witcher.de
www.worldofplayers.de

[MisterXYZ]

Danke für die schnelle Antwort

World of Risen also gar nicht davon betroffen, richtig?

[Sweil]

Ich denke nicht. Zumindest akzeptiert die WoR keine SSL-Verbindungen (Test).

[MisterXYZ]

Vielen lieben Dank

[Sweil]

Wobei... Wenn es dir um ein möglicherweise ausgelesenes Passwort geht, dann hast du glaube ich trotzdem Pech gehabt. Ich bin mir nicht 100% sicher, aber so wie ich es verstanden habe, kann über den Bug der ganze Server angegriffen werden. Da hier alle Netzwerkseiten auf dem selben Server liegen, wäre demnach auch die WoR betroffen gewesen. Allerdings kenne ich das Server-Setup nicht genau und hab allgemein zu wenig Verständnis dafür wie der Angriff konkret funktioniert. Vielleicht kann einer der Admins da genauer weiter helfen.

[MisterXYZ]

Ich denke, ich ändere da einfach zur Sicherheit mal mein PW.

[Eduard Bär]

Wobei... Wenn es dir um ein möglicherweise ausgelesenes Passwort geht, dann hast du glaube ich trotzdem Pech gehabt. Ich bin mir nicht 100% sicher, aber so wie ich es verstanden habe, kann über den Bug der ganze Server angegriffen werden. Da hier alle Netzwerkseiten auf dem selben Server liegen, wäre demnach auch die WoR betroffen gewesen. Allerdings kenne ich das Server-Setup nicht genau und hab allgemein zu wenig Verständnis dafür wie der Angriff konkret funktioniert. Vielleicht kann einer der Admins da genauer weiter helfen.

Ausgelesen werden kann nur das, was aktuell im Arbeitsspeicherbereich von OpenSSL liegt. Alles was sich außerhalb davon befindet ist nicht betroffen. Wenn OpenSSL also nicht zum Übertragen des Passwortes verwendet wurde, dann sollte das Passwort auch nicht ausgelesen werden können.

Passwörter ab und zu mal zu ändern ist aber nie falsch.