SSL Bug auf VPN Server.

[Gelöschtes Mitglied 468]

Hey, ist PP betroffen?

http://www.heise.de/newsticker/meld...ung-im-Web-Horror-Bug-in-OpenSSL-2165517.html

In erster Linie betroffen sind jetzt alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen. Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste.


Vorab Danke für die Info.

 

[JackCarver]

Das Debian Update gibts bereits zur Installation, aber Danke für die Info.

 

[DebianCore]

Das Debian Update gibts bereits zur Installation, aber Danke für die Info.

Wohl wahr, und wenn nicht, einfach manuell installieren.

Die Frage ist jetzt allerdings ob man neue Dateien runterladen muss, was Perfect-Privacy betrifft.

Vllt. nimmt ein Admin mal Stellung dazu, Vielen Dank!

//Mint/Ubuntu auch am Start.
openssl (1.0.1e-3ubuntu1.2)

 

[Dr. Kochhahn]

Wenn ich diesen Bericht richtig verstehe, müssten alle Zertifikate ausgetauscht werden. Denn auch nach dem Sicherheitsupdate könnte man bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen.
http://www.stern.de/digital/online/...in-openssl-ermoeglicht-datenklau-2102152.html

 

[PP Frank]

Es reicht meines Wissens nach aus die SSL-Bibliothek zu updaten, was wir auf allen Servern und Diensten getan haben.

 

[XKeyscore]

Habt ihr denn auch vorher die Software benutzt die von dem Bug betroffen ist?

 

[PP Frank]

Kann ich dir gerade gar nicht sagen. Ich habe meinen Teil der Server einfach auf den Neusten Stand gebracht....

 

[JackCarver]

@Dr. Kochhahn:

Um das einschätzen zu können muss man wissen welche Techniken jeweils verwendet werden. Ich unterscheide hier mal:

- OpenVPN
- IPsec
- HTTPS

Bei allen drei Verfahren kommt ne hybride Verschlüsselung zum Einsatz, dh zuerst wird meist per RSA Verfahren die weitere Verschlüsselung der Daten ausgehandelt, meist ein AES Verfahren.
Sowohl bei OpenVPN als auch bei IPsec wird zum Aushandeln des AES Schlüssels ein Diffie Hellman Verfahren verwendet, dh der Schlüssel, der zur weiteren Verschlüsselung der Daten verwendet wird geht nie über die Leitung.

Daraus folgt, dass bei den beiden ersten Verfahren es nicht ausreicht den private RSA Key des Servers geklaut zu haben, da selbst wenn die RSA Verschlüsselung geknackt wird man darin nicht den AES Schlüssel finden wird.
Die Daten können dadurch also nicht entschlüsselt werden.

Bei HTTPS läuft das prinzipiell genauso, allerdings liegt es hier am Serverbetreiber ob er Diffie Hellman verwendet oder nicht. Verwendet er es nicht, so geht der AES Schlüssel RSA geschützt über die Leitung und sollte man das RSA Verfahren mit nem geklauten private Key knacken, so hat man auch den AES Schlüssel mit dem man dann auch die Daten entschlüsseln kann.

Edit:
Das RSA Verfahren, das aus public/private Key besteht wird meist nur zur Authentifizierung verwendet, selten auch zum Verschlüsseln der Daten. Ausnahme hierzu wäre zb S/MIME.

 

[Inkognito]

Kann ich dir gerade gar nicht sagen. Ich habe meinen Teil der Server einfach auf den Neusten Stand gebracht....

Na dann bitte doch mal Lars Aufklärung zu schaffen. Im schlimmsten Fall war die Verschlüsselung hinfällig für Leute die Wissen von dem Bug hatten.

Ein paar mehr Informationen von eurer Seite wären hierzu definitiv angebracht.

 

[JackCarver]

@inkognito:
siehe mein Post, die Datenverschlüsselung ist nicht hinfällig, OpenVPN verwendet RSA zur Authentifizierung nicht zum Verschlüsseln.

 

[Salat]

Ich würde mich dem "Aufklärungsersuchen" gern anschließen. Ein anderer VPN-Provider den ich nutze hat umfassend Stellung genommen und detailliert erklärt welche Maßnahmen ergriffen wurden und demnächst noch erfolgen werden. Da ich den Service von PP recht gern nutze, würde ich mich an dieser Stelle um mehr Aufklärung freuen.

 

[Gelöschtes Mitglied 468]

Ich bin kein IT-Security Profi, deshalb habe ich mich für PP entschieden.
Mein Anliegen: Sichere Kommunikation über das Internet.

Momentan fühle ich mich sehr unwohl.
Bin ich wirklich noch sicher?

Meine Meinung:

Wenn auch nur die geringste Möglichkeit bestanden habe, dass sicherheitsrelevante Informationen bekannt wurden, sollten zwingend alle sicherheitsrelevante Daten erneuert werden.
Neue Keys, Passwörter, neue OpenVPN Konfig Daten ........

Oberstes Gebot für PP sollte sein:

Gewährleistung dass alles unternommen wird um eine sichere Kommunikation über das Internet für die Kunden zu ermöglichen.


Wie gesagt, ich bin kein Profi.
Kann ja sein, dass bei PP alles in Ordnung ist und keine Gefahr für die Kunden besteht.
Damit ich PP wieder beruhigt verwenden kann wäre es sehr gut eine ausführliche Stellungnahme bereitzustellen.
Und bitte bei der Stellungnahme nicht vergessen, dass viele hier keine Profis sind, sie soll verständlich sein


DANKE an PP

 

[Rudpla]

https://forums.openvpn.net/topic15526.html

 

[Gelöschtes Mitglied 468]

@Rudpla :

1.Mein Englisch ist nicht so gut
2.Ich verwende den PP Manager
3. Wie ist es unter Linux Mint?

Für Windows Nutzer: OpenVPN auf Version 1004 updaten!
Es sollen alle OpenVPN Clients betroffen sein. (Info aus einem anderen VPN Board)

http://openvpn.net/index.php/open-source/downloads.html

 

[Rudpla]

Zu Mint kann ich nichts sagen, weil ichs nicht benutze. Ansonsten schau nochmal hier: https://community.openvpn.net/openvpn/wiki/heartbleed Da steht (in leicht verständlichem Englisch), was man machen muss.

 

[speedylein]

Also,für nicht so kundige wie ich,Windows 7 nutzer:
Für Windows Nutzer: OpenVPN auf Version 1004 updaten!
Installer habe ich geladen.
Heißt also jetzt,alte OpenVpn runter,von mir aus auch
den Manager.Die 1004 installieren,Manager wieder drauf,und
dabei aber OpenVPN abwählen,da vorher Installiert.
Ich habe das ganze so verstanden,das an den Servern was
geändert werden muß.
Speedy ist nen bißchen Durcheinander jetzt

 

[JackCarver]

Der PP Manager nutzt das darunterliegende openvpn, also das kann man ja recht simpel über die OpenVPN Homepage updaten. Bei Linux sind die GUIs auch nur n Aufsatz auf das OpenVPN Paket, das man über die paketquellen updaten kann

 

[Gelöschtes Mitglied 468]

@PP

Was noch aussteht wären auf jeden Fall die Updates der Zertifikate.
Ein offizieller Zeitplan, damit man planen kann, sonst geht die Schreierei im Forum wieder los

Anpassen der Zugangssoftware (PP Manager.....)

Ausführliche Stellungnahme

Infos zur Problemlösung unter Linux Mint, Ubuntu.......

 

[Gelöschtes Mitglied 468]

Also,für nicht so kundige wie ich,Windows 7 nutzer:
Für Windows Nutzer: OpenVPN auf Version 1004 updaten!
Installer habe ich geladen.
Heißt also jetzt,alte OpenVpn runter,von mir aus auch
den Manager.Die 1004 installieren,Manager wieder drauf,und
dabei aber OpenVPN abwählen,da vorher Installiert.
Ich habe das ganze so verstanden,das an den Servern was
geändert werden muß.
Speedy ist nen bißchen Durcheinander jetzt

Es reicht aus wenn du dir das Update OpenVPN 1004 ladest und installierst.
Den PP Manager nicht neu installieren!

Betroffen sind Server und Clients

 

[speedylein]

Alles klar,Danke für die Info