openssl-Sicherheitsleck?

(DE) System, Installation, Konfiguration, Hardware, Treiber, Netzwerk, Virtualisierung, etc.
(EN) System, Installation, Configuration, Hardware, Drivers, Network, Virtualisation, etc.
User avatar
LotharS
Posts: 836
Joined: Sun 29. Dec 2013, 20:07
Location: Düsseldorf

openssl-Sicherheitsleck?

Post by LotharS »

Ist von der bekannt gewordenen Sicherheitslücke in opensssl auch OS/2-eCS betroffen? Möglicherweise ja, oder auch doch nicht, wenn die Portierung auf einer älteren Version basiert? Für Linux waren jedenfalls gestern schon Updates draußen. Eventuell betreibt hier ja jemand einen solchen Server. Ansonsten sind wir ja alle irgendwo "Kunden"...

Soeben bekomme ich nämlich eine (seriöse) Mail, hier gekürzt:
Sehr geehrte Kundin!
Sehr geehrter Kunde!

Gestern, Dienstag 08. April 2014, wurde eine Schwachstelle in der SSL-Verschlüsselung bekannt, die in weiten Teilen des Internets dazu dient, sichere Verbindungen aufzubauen. Die Schnittstelle wird neben Banken, Versicherungen und vielen Unternehmen und Services auch vom Online-Shop der Wiener Linien verwendet. Noch gestern Abend konnte die Sicherheitslücke geschlossen werden.
...
Es bestand die Möglichkeit, eigentlich verschlüsselte Daten in der Kommunikation zwischen Ihnen und dem Shop abzufangen und auszulesen. Weil uns Ihre Datensicherheit das Allerwichtigste ist, und um jedes Risiko für die Zukunft auszuschließen, haben wir Ihr Passwort zur Sicherheit zurückgesetzt. Bitte wählen Sie beim nächsten Login über die "Passwort vergessen" - Funktion ein neues Passwort oder fordern Sie über den unten stehenden Link direkt ein neues Passwort an:...
Mit solcher Transparenz hätte ich nirgends gerechnet, Respekt.

aschn
Posts: 1332
Joined: Wed 25. Dec 2013, 22:47

Post by aschn »

LotharS wrote: Ist von der bekannt gewordenen Sicherheitslücke in opensssl auch OS/2-eCS betroffen? Möglicherweise ja, oder auch doch nicht, wenn die Portierung auf einer älteren Version basiert?
Quatsch, natürlich nicht, weil's viel zu aktuell ist. OS/2 ist schon seit etlichen Jahren prinzipiell unsicher. Security by Obscurity hält uns am Leben.
LotharS wrote: Ansonsten sind wir ja alle irgendwo "Kunden"...
Das ist genau das eigentliche Problem. Es geht immer seltener ums OS - auch was Sicherheit betrifft.
Andreas Schnellbacher

User avatar
Frank Wochatz
Posts: 1053
Joined: Sun 22. Dec 2013, 22:04
Location: Berlin

Post by Frank Wochatz »

aschn wrote: Security by Obscurity
Hahaha, you made my day. Die Formulierung werde ich mir bei Gelegenheit mal ausleihen.

Das schöne daran ist, das es sogar funktioniert. :)

aschn
Posts: 1332
Joined: Wed 25. Dec 2013, 22:47

Post by aschn »

Frank Wochatz wrote:
aschn wrote: Security by Obscurity
Hahaha, you made my day. Die Formulierung werde ich mir bei Gelegenheit mal ausleihen.

Das schöne daran ist, das es sogar funktioniert. :)
Das hab ich das erste Mal von Roland Schmalenberg, wahrscheinlich auf der WSE in Köln, gehört. In der IT-Welt (nicht mein Bereich) ist der Ausdruck auch recht geläufig.
Andreas Schnellbacher