Mageia Forum

[unklar]

Moin,

ich weiß nicht, wie ihr darüber denkt. Bisher glaubte ich, nicht paranoid zu sein, aber langsam könnte ich kotzen...

Es geht um das hier als NEUEN Ausgangspunkt: http://www.heise.de/security/meldung/De ... 65517.html

Und, nun finde ich das im Netzt, http://igurublog.wordpress.com/2014/04/ ... y-the-nsa/
überesetze es mir mit Hilfe von google-Translator und den Hinweisen aus dem debian-Forum:

Grob übersetzt Zitat:
"Alle Backdoors der NSA, die in Linux eingebauten wurden, werden erst nach und nach als Fehler (bug) veröffentlicht. Das ganze soll gewollt sein, damit eben nicht der Verdacht bestehe, dass es sich wirklich um Backdoors handele.
Einer der Größten Partner von RedHat beispielsweise ist das amerikanische Militär. Und da RedHat großen Einfluss auf die Linuxwelt hat, werden die wohl ihre Geschäftspartner nicht verlieren wollen und lenken die Community in eine Art Überwachte-Sicherheit. Debian hat wohl eine Art SSL-Schlüsselgenerator in den Repos, der nachweislich sabotiert wurde."

Erscheint da die Pleite jetzt mit openssl nicht in einem ganz anderen Licht? Ich kann nicht glauben, dass solch "plumpe Fehler"
einfach mal so OpenSource-Entwicklern "unterlaufen".
Wie heißt doch gleich der Spruch(mit einer anderen Zielrichtung): "Ich bin doch nicht blöd!"

[jkowalzik]

Moin,
Ich kann nicht glauben, dass solch "plumpe Fehler" einfach mal so OpenSource-Entwicklern "unterlaufen".
Wie heißt doch gleich der Spruch(mit einer anderen Zielrichtung): "Ich bin doch nicht blöd!"

Hallo!
Da stellen wir uns doch mal ganz einfach die Feuerzangenbowle-Frage:
"Also, wat is en OpenSource-Entwicklern? Da stelle mehr uns janz dumm. Und da sage mer so: En OpenSource-Entwicklern, dat is ene jroße Mann, der hat oben eine Kopp un unten Fööß."
Das schließt allerdings nicht die Umkehrung des Satzes ein "Der Mensch braucht auch Brot und nicht nur OpenSource-Entwicklung". Dann greift aber die Feststellung: "wes Brot ich ess, des Lied ich sing". Wenn die NSA das Brot zahlt, dann kann ich meine Arbeit "kostenlos" zur Verfügung stellen, sie ist allerdings nicht "umsonst", sie kostet "Einblick"!

Gruß
J.

[psyca]

Ob das jetzt ein Fehler oder Absicht war kann wohl nur der OpenSSL Programmierer wissen. Jedenfalls wurde der Bug von Google gefunden die auch keinen so guten Ruf in Sachen NSA und Datenschutz haben.
Kann mich jedenfalls nur dem Vorposter anschließen. Geld regelt vieles. Der vorteil ist eben immernoch das der Quellcode offen liegt und nicht wie bei Closed Source bei dem die Lücke vieleicht noch einige Zeit bestehen würde. Das Problem von OS ist das der Quellcode zwar da ist, aber nur Programmierer ihn lesen können (und von denen auch nicht alle) aber trotzdem eher entdeckt werden können

[jkowalzik]

Ob das jetzt ein Fehler oder Absicht war kann wohl nur der OpenSSL Programmierer wissen......
Der Vorteil ist eben immer noch das der Quellcode offen liegt und nicht wie bei Closed Source bei dem die Lücke vielleicht noch einige Zeit bestehen würde. Das Problem von OS ist das der Quellcode zwar da ist, aber nur Programmierer ihn lesen können (und von denen auch nicht alle) aber trotzdem eher entdeckt werden können

Hallo!
Du bringst es auf den Punkt, in Open-Source funktioniert dieses Spielchen nur, solange es keinen gibt, der den Quellcode verstehen kann.

Jedenfalls wurde der Bug von Google gefunden die auch keinen so guten Ruf in Sachen NSA und Datenschutz haben.

Ja, aber irgendwo sind die Interessen von NSA und Gugel auseinander gelaufen und plötzlich stehen sich zwei Gleichwertige bei den Internas gegenüber.
Aber: Viel interessanter ist die Frage: "Das Loch ist geschlossen" - "auch bei MGA?"

Gruß
J.

[alf]

https://forums.mageia.org/en/viewtopic.php?f=5&t=7356
https://forums.mageia.org/en/viewtopic.php?f=8&t=7354
https://forums.mageia.org/en/viewtopic.php?f=5&t=7337

[unklar]

Ob das jetzt ein Fehler oder Absicht war kann wohl nur der OpenSSL Programmierer wissen.

Dem kann abgeholfen werden und, reibt euch mal die Augen!
https://blog.fefe.de/?ts=adba343f

Dem dok sein Befehl (aus dem Link von @alf)ging bei mir bisher so

Code: Alles auswählen

lsof | grep libssl

und da ist man doch überrascht, wer da alles genannte Bibliotheken verwendet. Es betrifft also nicht nur Server. Obwohl das etwas reißerisch erscheint, ist es
wohl doch nicht übertrieben: http://www.heise.de/security/meldung/Pa ... 66861.html

Überprüft eure openssl-Version

Code: Alles auswählen

rpm -qa | grep openssl

und updated (Mageia hat schon gestern/vorgestern reagiert)

[psyca]

Das könnte eventuell auch interessant sein
http://www.heise.de/security/news/foren ... 5613/read/
(ist ein Foreneintrag bei Heise.de)

---

Mageia war soweit schnell beim Fixen. Habe am selben Tag, als ich den Bericht über die Lücke bei Heise gelesen hatte kurze Zeit später die gefixten Pakete als Update zum downloaden. Also 1a.

[Oli]

Egal ob Sie diesmal dabei waren.
Eine Organisation mit fast unbegrenzten Möglichkeiten.
Es wäre seltsam wenn Sie nicht ein paar Entwickler an den entscheidenden Stellen bei sicherheitsrelevanter Software (closed und open) platzieren würden.
Und da das Thema "Paranoid" ist:
Wenn ich es mir genau überlege, würde ich eine Firma für Virenscanner gründen und mit einer kostenlosen Version alles abfischen.
Damit kann ich der Konkurrenz auch noch das Leben schwer machen.

[doktor5000]

Dem dok sein Befehl (aus dem Link von @alf)ging bei mir bisher so

Code: Alles auswählen

lsof | grep libssl

und da ist man doch überrascht, wer da alles genannte Bibliotheken verwendet.

lsof zeigt dir nur an, welcher Prozess gerade die Bibliothek benutzt. Der Befehl von http://www.corsac.net/?rub=blog&post=1565 zeigt dir an, welche Prozesse nach einem Update noch ein Filehandle auf die alte (gelöschte) Bibliothek offen haben und diese noch nutzen.
Äpfel <> Birnen.

[unklar]

Hi Dok,
danke, das macht mich "schlauer" im Umgang mit dem Sachverhalt.

Hier ist eine Erklärung der Funktionsweise des Exploit, die man auch "versteht".
http://www.heise.de/security/artikel/So ... 68010.html

[doktor5000]

Hier ist eine Erklärung der Funktionsweise des Exploit, die man auch "versteht".

Geht auch einfacher http://m.xkcd.com/1354/

[unklar]

Nee Dok,
für einen deutschen Muttersprachler ist das nun wieder nix!

[alf]

Nee Dok,
für einen deutschen Muttersprachler ist das nun wieder nix!

ohh, um das zu verstehen, reichen doch wohl auch rudimentäre Englischkenntnisse

[unklar]

ohh, um das zu verstehen, reichen doch wohl auch rudimentäre Englischkenntnisse

Mag ja sein alf, aber der alte Sack ist manchmal begriffsstutzig.

[jkowalzik]

ohh, um das zu verstehen, reichen doch wohl auch rudimentäre Englischkenntnisse

Mag ja sein alf, aber der alte Sack ist manchmal begriffsstutzig.

Hi! "rudimentäre Englischkenntnisse" darf man nicht mit "begriffstutzig" gleich setzen, hier ist es das Comic, welches zu stark vom Inhalt ablenkt. Das funktioniert bei "Tarzan" der sich durch den Urwald hangelt. Dann ist ein Bild mit so herabhängenden Seilen schon hilfreich. Als Grundschüler habe ich mir deshalb ganz Afrika so vorgestellt, Bäume und von oben hängen schnurartige Lianen. Wenn Jane dann sagt: "Tarzan - mein Dschungelheld", dann wirkt das besser wenn man auch sieht "Größe 75 Cup F".
Mir hat "Wenn der Client über die Länge lügt, füllt der Server das Antwortpaket großzügig mit eigenen Daten auf." als Erklärung genügt. Spontan dazu eingefallen ist mir nur die Bemerkung "mühsam ernährt sich das Eichhörnchen" und die Frage "warum nicht x kB und kein Bit zu wenig, oder zu viel"

Gruß
J.

PS: Am liebsten habe ich die Bits' nicht in der Leitung, sondern in der Hand