Beiträge von MatzZze

  • Heartbleed Schwachstelle in allen Systemen: Vorgehensweise

    Zitat von junkpad92

    Ich habe das Update installiert (ich hatte nur eines) und anschließend alle Dienste neugestartet. Die selbstsignierten Zertifikate habe ich bereits erneuert. Ich nutze die Zertifikate "nur" für den Mailserver und den Webmail-Login. Das selbstsignierte für FTP.

    Wichtig ist auch, dass man das libssl Update auch installiert, denn das ist die eigentlich Bibliothek, die von den Anwendungen benutzt wird! Auch von OpenSSL!
    Bitte überprüfe ob du das Update eingespielt hast, denn sonst bleibt das Problem weiterhin bestehen.


    Bei Debian ist es jedenfalls so, dass die Abhängigkeit nicht genau angegeben wurden, sodass bei einem Update das libssl1.0.0 Paket nicht zwingend erneuert wird!
    Wenn du das vergessen haben solltest, kann es sein, dass deine neu generierten Zertifikate bzw. Private-Keys (erneut) entwendet wurden!


    Was SSH betrifft:
    Hier musst du dir keine Sorgen machen.


    Viele Grüße
    Marcel Luckas

  • Heartbleed Schwachstelle in allen Systemen: Vorgehensweise

    Hallo zusammen.


    Nur das openssl Paket updaten reicht nicht aus. Zumindest ist mir das unter Debian aufgefallen. Extrem wichtig ist auch die libssl zu updaten, da die Anwendungen dieses Paket nutzen.


    Hier noch ein Link unter dem ihr überprüfen könnt, ob noch ein Ridiko besteht: Heartbleed OpenSSL extension testing tool, CVE-2014-0160


    EDIT:
    Zu Erwähnen ist natürlich auch noch, dass alle Libraries/Anwendungen die statisch mit openssl gelinked wurden auch noch ein Update brauchen!
    Wenn ich mich recht erinnere, enthält das Modul mod_spdy (SPDY Erweiterung für den Apache) statisches SSL.
    Dadurch kann es vorkommen, dass der Heartbleed Bug weiterhin aktiv bleibt!


    Viele Grüße
    Marcel Luckas

  • vServer fail2ban Alternative

    also was mir spontan einfallen würde ist zwar sehr statisch aber doch relativ einfach:


    1. Man ändert kurzzeitig in der jail.conf die Sperrdauer auf ca. 60 sek und lädt fail2ban neu.
    2. Als nächstes öffnet man das Shell-Skript und kommentiert unten im Skript das rm -R /tmp/nvcp und die beiden curl-Aufrufe zum löschen aus, damit man sich die ipv4.txt bzw. ipv6.txt mal anschauen kann.
    3. Man sorgt dafür, dass fail2ban eine IP sperrt und wieder entsperrt.
    4. Anschließend kann man sich in den o.g. Textdateien die IDs der Rules heraussuchen, die nicht gelöscht werden sollen. Man implementiert nun eine Filtermethode ins Shell-Skript, wobei der curl-Aufruf dann nur gemacht werden soll, wenn die ID ungleich der nicht zu löschenden IDs ist.
    5. Zum Schluss müssen einfach die 3 Befehle wieder einkommentiert und die Sperrdauer wieder zurückgesetzt werden.


    Ist zwar nicht die beste Lösung, da man bei jeder neuen Regel die ID ins Skript mit aufnehmen muss, aber ist dafür schnell zu realisieren ;)