Nochmal SSL Lücke

(DE) Neuigkeiten zu den Themen OS/2, eCS, und dem OS/2-Forum
(EN) News about OS/2, eCS and the OS/2 Forum
Antworten
Markus
Beiträge: 77
Registriert: Mo 23. Dez 2013, 16:32

Nochmal SSL Lücke

Beitrag von Markus »

'Heartbleed' vulnerability - OS/2 web server fixes
Paul Smedley

Apache2, PHP 5.3.x, PHP 5.4.x, PHP 5.5.x updated to include OpenSSL 1.0.1g fixes that address 'Heart Bleed' vulnerability - http://os2ports.smedley.id.au
Danke an Paul, auch wenn ich diese Programme nicht nutze.
Eventuell kann man ja den Fix aus Apache oder PHP rausziehen und die fehlerhafte(?) Version auf seinem System ersetzen, sofern SSL installiert ist.

Siehe dazu auch diesen Thread im Forum.
Ist von der bekannt gewordenen Sicherheitslücke in opensssl auch OS/2-eCS betroffen? Möglicherweise ja, oder auch doch nicht, wenn die Portierung auf einer älteren Version basiert? Für Linux waren jedenfalls gestern schon Updates draußen.
Jetzt auch ein Fix für OS/2 ;)
Nach oben
KLAUSB

Beitrag von KLAUSB »

Hallo,

Die SSL.DLL aus dem Apache-Paket von Paul Smedley ist ja vom 12. April 2014, da sollte der Fix drin sein, ebenso in der openssl.dll von php5.5.

Unser OpenSSH verwendet aber (m.W.) keine ssl.dll oder openssl.dll, sondern (nur) die sshd.exe von 2009.

Wenn ich es richtig verstanden habe, verwendet aber ssh die ssl-Technik, so dass das Problem ungelöst erscheint.

Oder ist das falsch?

Am besten wäre natürlich eine richtige Lösung.., nur wie?


Update:

habe jetzt einen Artikel von Tony Becker gefunden,

fortpedro-com/2014/04/bleeding-heart-openssl-vulnerability

Demnach nutzt SSH gerade den entscheidenden heartbleed-Teil von OpenSSL nicht!

=> nochmal Glück gehabt!
Nach oben
Antworten

Zurück zu „OS/2, eCS, ArcaOS - News“