• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Heartbleed VULNERABLE trotz Update auf openssl 1.0.1g

K

knool

Newbie
Hallo zusammen,

ich habe einen Ubuntu-Server nach http://www.soldato.de/openssl-mit-schwerer-sicherheitsluecke/ die neue openssl 1.0.1g installiert.
Wenn ich auf dem server openssl eingeben, bekomme ich auch angezeigt, dass ich die aktuelle
Version 1.0.1g installiertt habe.

Wenn ich die Website nun durch eien beliebigen Test schicke, bekomme ich aber die Anzeige, dass
die Website noch VULNERABLE ist.

Woran kann denn das liegen?

Grüße knool
 
S

spoensche

Moderator
Teammitglied
knool schrieb:
Wenn ich die Website nun durch eien beliebigen Test schicke, bekomme ich aber die Anzeige, dass
die Website noch VULNERABLE ist.

Woran kann denn das liegen?
Zum Vergrößern anklicken....

Welche Tests meinst du mit beliebig? Evtl. ist deine Webseite für andere Schwachstellen anfällig, die nichts mit SSL zu tun haben, z.B. XSS, CSRF, Pathtraversal oder Session Hijacking oder ...
 
S

spoensche

Moderator
Teammitglied
Führe mal den Test von Heise aus. Liefert er das selbe Ergebnis? Hast du nach dem Update auch das Zertifikat neu generiert und vor allem mit den richtigen Algorithmus?
 
OP
K

knool

Newbie
Hallo,

nochmal einen anderen Test von heise probiert:

Actively checking if CVE-2014-0160 works: Server is vulnerable to all attacks tested, please upgrade software ASAP.

Um Deine frage zu beantworten, das Zertifikat habe ich nicht geändert. Ich dachte, dass es erstmal nur um die Software geht.
Wenn alles klar ist, wollte ich das Zertifikat erneuern. Kann das wirklich mit dem Zertifikat zusammenhängen?
 
S

spoensche

Moderator
Teammitglied
Naja, es hängt auch von dem verwendeten Algorithmus ab und die Frage ist wie vertrauenswürdig sind die alten Zertifikate noch? Kann ich 100%ig sicher sein, das bei bestehen der Lücke niemand den Speicher ausgelesen hat?

Hast du wirklich ein Update gemacht oder openssl neben dem bestehenden installliert? Sind mit der OpenSSL Aktualisierung auch die Programme aktualisiert worden, die die OpenSSL Bibliothek verwenden?

Es erweckt zumindest den Eindruck, dass dein Apache nich die anfällige Bibliothek geladen hat oder bei deiner mod_ssl Konfiguration etwas nicht stimmt.
 
OP
K

knool

Newbie
Hier noch ein paar Auszüge, aus einem anderen Test, evl. hilft das weiter:

Code: 
Known Problems

There are some errors that we cannot fix properly in the current version. They will be addressed in the next generation version, which is currently being developed.

    No secure protocols supported - if you get this message, but you know that the site supports SSL, wait until the cache expires on its own, then try again, making sure the hostname you enter uses the "www" prefix (e.g., "www.ssllabs.com", not just "ssllabs.com").
    no more data allowed for version 1 certificate - the certificate is invalid; it is declared as version 1, but uses extensions, which were introduced in version 3. Browsers might ignore this problem, but our parser is strict and refuses to proceed. We'll try to find a different parser to avoid this problem.
    Failed to obtain certificate and Internal Error - errors of this type will often be reported for servers that use connection rate limits or block connections in response to unusual traffic. Problems of this type are very difficult to diagnose. If you have access to the server being tested, before reporting a problem to us, please check that there is no rate limiting or IDS in place.
    NetScaler issues - some NetScaler versions appear to reject SSL handshakes that do not include certain suites or handshakes that use a few suites. If the test is failing and there is a NetScaler load balancer in place, that's most likely the reason. 

Common Error Messages

    Connect timed out - server did not respond to our connection request, sometimes before we are dynamically blocked when our tests are detected
    No route to host - unable to reach the server
    Unable to connect to server - failed to connect to the server
    Connection reset - we got disconnected from the server
    Unrecognized SSL message, plaintext connection? - the server responded with plain-text HTTP on HTTPS port
    Received fatal alert: handshake_failure - this is either a faulty SSL server or some other server listening on port 443; if the SSL version of the web site works in your browser, please report this issue to us
 
OP
K

knool

Newbie
mir wurde das von meinem Provider so gesagt.

Was wäre jetzt der beste Weg, um das Problem zu lösen?
 
M

marce

Guru
Hast Du denn schon alle Updates und Patches des OS eingespielt? Nur dann kannst Du Dir einigermaßen sicher sein, daß auch jede Komponente die richtigen Libs verwendet. Mit dem, was Du da "so nebenbei am OS vorbei" in's System geschmissen hast - bekommst Du zwar evtl. eine aktuelle Binary angezeigt, ob die grundelegenden Libs aber auch alle richtig und sauber in Verwendung sind - tja...

Ach ja - nach den Updates: Dienst-Neustart danach nicht vergessen.
 
J

josef-wien

Ultimate Guru
Meiner Meinung nach ist es (besonders in so einem Fall) der falsche Weg, irgendwelche Dateien am Paketmanager vorbei zu installieren. Die Versionsnummer muß nicht zwangsläufig 1.0.1g sein. Ich weiß nicht, wie es Ubuntu handhabt, aber ich gehe davon aus, daß die aktuelle Version der einzelnen (logisch zusammengehörenden) Pakete die patches enthält (bei openSUSE wird bei der laufenden release prinzipiell nicht auf eine neue Version umgestiegen, sondern die patches wurden bei der Version 1.0.1e eingespielt).
 
Geier0815

Geier0815

Guru
http://www.ubuntu.com/usn/usn-2165-1/ ist am 07.04 über die security-liste von ubuntu announced worden. Wenn Du dir die Paketnamen anguckst, wirst Du sehen das das als quasi "backport" gefixed wurde. Du solltest zukünftig die security-news von ubuntu abonnieren und auch mal reingucken.
Und nun solltest Du deinen selbstinstallierten Krempel wieder runter schmeißen und die aktuelle Version von ubuntu verwenden, dann wird Alles gut.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben