OS2.org Forum

Unabhängiges Forum für OS/2-, eComStation- und ArcaOS-Anwender
https://www.os2.org/

Nochmal SSL Lücke

https://www.os2.org/viewtopic.php?t=230

Seite 1 von 1

Nochmal SSL Lücke

Verfasst: Sa 12. Apr 2014, 12:53
von Markus
'Heartbleed' vulnerability - OS/2 web server fixes
Paul Smedley

Apache2, PHP 5.3.x, PHP 5.4.x, PHP 5.5.x updated to include OpenSSL 1.0.1g fixes that address 'Heart Bleed' vulnerability - http://os2ports.smedley.id.au
Danke an Paul, auch wenn ich diese Programme nicht nutze.
Eventuell kann man ja den Fix aus Apache oder PHP rausziehen und die fehlerhafte(?) Version auf seinem System ersetzen, sofern SSL installiert ist.

Siehe dazu auch diesen Thread im Forum.
Ist von der bekannt gewordenen Sicherheitslücke in opensssl auch OS/2-eCS betroffen? Möglicherweise ja, oder auch doch nicht, wenn die Portierung auf einer älteren Version basiert? Für Linux waren jedenfalls gestern schon Updates draußen.
Jetzt auch ein Fix für OS/2 ;)

Re: Nochmal SSL Lücke

Verfasst: Fr 25. Apr 2014, 16:13
von KLAUSB
Hallo,

Die SSL.DLL aus dem Apache-Paket von Paul Smedley ist ja vom 12. April 2014, da sollte der Fix drin sein, ebenso in der openssl.dll von php5.5.

Unser OpenSSH verwendet aber (m.W.) keine ssl.dll oder openssl.dll, sondern (nur) die sshd.exe von 2009.

Wenn ich es richtig verstanden habe, verwendet aber ssh die ssl-Technik, so dass das Problem ungelöst erscheint.

Oder ist das falsch?

Am besten wäre natürlich eine richtige Lösung.., nur wie?


Update:

habe jetzt einen Artikel von Tony Becker gefunden,

fortpedro-com/2014/04/bleeding-heart-openssl-vulnerability

Demnach nutzt SSH gerade den entscheidenden heartbleed-Teil von OpenSSL nicht!

=> nochmal Glück gehabt!
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de