Nochmal SSL Lücke

(DE) Neuigkeiten zu den Themen OS/2, eCS, und dem OS/2-Forum
(EN) News about OS/2, eCS and the OS/2 Forum
Markus
Posts: 77
Joined: Mon 23. Dec 2013, 16:32

Nochmal SSL Lücke

Post by Markus » Sat 12. Apr 2014, 12:53

'Heartbleed' vulnerability - OS/2 web server fixes
Paul Smedley

Apache2, PHP 5.3.x, PHP 5.4.x, PHP 5.5.x updated to include OpenSSL 1.0.1g fixes that address 'Heart Bleed' vulnerability - http://os2ports.smedley.id.au
Danke an Paul, auch wenn ich diese Programme nicht nutze.
Eventuell kann man ja den Fix aus Apache oder PHP rausziehen und die fehlerhafte(?) Version auf seinem System ersetzen, sofern SSL installiert ist.

Siehe dazu auch diesen Thread im Forum.
Ist von der bekannt gewordenen Sicherheitslücke in opensssl auch OS/2-eCS betroffen? Möglicherweise ja, oder auch doch nicht, wenn die Portierung auf einer älteren Version basiert? Für Linux waren jedenfalls gestern schon Updates draußen.
Jetzt auch ein Fix für OS/2 ;)

KLAUSB

Post by KLAUSB » Fri 25. Apr 2014, 16:13

Hallo,

Die SSL.DLL aus dem Apache-Paket von Paul Smedley ist ja vom 12. April 2014, da sollte der Fix drin sein, ebenso in der openssl.dll von php5.5.

Unser OpenSSH verwendet aber (m.W.) keine ssl.dll oder openssl.dll, sondern (nur) die sshd.exe von 2009.

Wenn ich es richtig verstanden habe, verwendet aber ssh die ssl-Technik, so dass das Problem ungelöst erscheint.

Oder ist das falsch?

Am besten wäre natürlich eine richtige Lösung.., nur wie?


Update:

habe jetzt einen Artikel von Tony Becker gefunden,

fortpedro-com/2014/04/bleeding-heart-openssl-vulnerability

Demnach nutzt SSH gerade den entscheidenden heartbleed-Teil von OpenSSL nicht!

=> nochmal Glück gehabt!