Bug in OpenSSL betrifft uns ja auch ...?

In der aktuellen IPS Version haben wir ja OpenSSL 1.0.1 im Einsatz welche genau diesen Bug enthält.

Lieber den Webzugang zu IPS erstmal abschalten?:confused:

Naja das betrifft uns/die meisten noch bei vielen anderen Dingen. Danke fürs einstellen.

Man kann einfach auf 0.9.8 gehen.

Siehe hier:
http://www.ip-symcon.de/service/dokumentation/installation/migration-v24-v25/

Die aktuelle V3.1 (#3402) läuft mit 0.9.8, die neuere OpenSSL machte doch Probleme.

Gruß
Bruno

Also ich bekomme als Ausgabe SSL Version => OpenSSL/1.0.1f (welche vom Bug betroffen ist)

IPS v3.10 4.4.14 #3402

Korrekt. 1.0.1f ist drin.

siehe auch die beiden Dateien

libeay32.dll
ssleay32.dll

im root von IPS. Das sind die Librarys für den Webserver.

Könnte man natürlich downgraden auf 0.9.8 wenn man diese austauscht.

Und das Problem derzeit ist das ich noch keine 1.0.1g bzw. 1.2.0 beta als Windows-Library gefunden habe.

Ob paresy da im Moment was machen kann weiß ich noch nicht.

Letzter Stand war doch der Rückgang auf 0.9.8, mit Live-Update wird allerdings die neuere Version mitgeschickt, weshalb ich jedes Mal den Haken wegmache. :wink:

Mir ist nicht bekannt, daß paresy die neue Version schon freigegeben hat. Zu dem im Log-File wahrscheinlich ne Fehlermeldung kommt.

Neue OpenSSL in der aktuellen Beta #3404 :slight_smile:

paresy

Haussteuerung hat nix per Freigabe im Web zu suchen :wink:

@paresy

Wann kommt die neue DLL in die Stable?

Für mich ist es gerade der Sinn der Sache das ich aus der Ferne steuern kann. Und zwar ohne auf jedem PC einen installierten VPN-Client zu hinterlassen.

Wer seine verwundbaren Stellen mal schnell und einfach testen will --> http://filippo.io/Heartbleed

Hi zusammen,

ich habe die beiden dlls aus der beta jetzt mal rausgeholt und hier angehangen.
ssl fix.rar (629 KB)

Grüße
Rene

Danke Rene! Schade das eine der kritischsten Schwachstellen seit langem nicht vom Hersteller gepatcht wird und wir hier mit einem Workaround arbeiten müssen… :S

Bitte.

Ich glaube bei IPS war/ist das Problem aber nicht so groß. Ich habe mal ein paar Blöcke aus dem WebIf ausgelesen und es war jedesmal der selbe static Inhalt ohne Passwörter etc. (Zumindest bei mir, kann natürlich sein das bei jemand anderem in dem Bereich natürlich die Passwörter standen.

Zur Update Politik,

  1. Klar sollte den Usern schnell ein Fix angeboten werden, aber ohne Subskription bekommt man weder Normales noch Beta Update und in der Beta wiederum ist es vorhanden.

  2. Wenn dann wäre eventuell ein extra Part unter Service nicht schlecht wo dritt Anbieter Updates auch ohne Subskription bereit gestellt werden (zumindest wenn es sich um solche großen Sicherheitslücken handelt).

Morgen

Ich hab mich bis jetzt zurückgehalten, aber sagt mal habt ihr alle Paranoia oder was ?

Ich mein es gibt auf der Welt ja wohl lohnendere Ziele für böse Menschen (insbesondere jetzt wo der Bug publik wurde) als sich in euer IPS zu hacken und am Lichtschalter rumzuspielen.

Verstehe nicht was ihr euch da für eine Kopf macht. Millionen von Dienste sind kompromittiert, da interessiert sich doch für unser IPS keine Sau.
Paresy wird schon machen. Notfalls halt zwischenzeitlich abdrehen.
Wenn jemand eure Daten will so kriegt er sie, ob mit oder ohne SSL. Kann eh keine nachvollziehen was andere Apps so treiben.

gruß
bb

Morgen zusammen,

ja ich finde bei dem Bug darf man schon etwas paranoid werden. Wenn man feststellt das sowohl NAS (Qnap) als auch Haussteuerung (IPS) schon seit längerem leicht angreifbar im Netz hängen. Mir ist klar das keiner gezielt bei mir einbrechen will um mir grad beim rauslassen des ersten Kaffees am morgen den Strom abzudrehen:rolleyes:. Da gibt es interessantere Ziele. Dennoch werden bekannte Lücken ja oft über diverse Tools automatisiert ausgenutzt. D.h. dann steht vielleicht mein System als kompromittiert/kompromittierbar in irgendeiner Liste für Botnetze oder was weiß ich. Eine Spamschleuder mehr ist ja auch schonmal was Wert, auch wenns auf dem System sonst nix zu holen gibt. Aber meine paranoia beschränkt sich auf „Ports zumachen“ und auf „Updates abwarten“. :cool:

@bb
Natürlich ist IPS nicht Angriffsziel Nr. 1.

Es gibt aber genügend Leute die dyndns Adressen nach Ports abscannen und gefundene Ports auf bekannte Sicherheitslücken prüfen. Und wenn jemand mit genug krimineller Energie auf ein Webif trifft welches netterweise auch noch Türöffnungsfunktionen und iPhone/Android Anwesenheitstracking Informationen anzeigt und somit auch direkt die Adresse preisgibt, dann kann man mit diesen Informationen auch gut Geld verdienen.
z.B. Online weiterverkaufen in einschlägigen Foren und 2 Tage später stehen netter Herren bei dir vor der Tür wenn du nicht da bist, öffnen mal schnell über dein WebIf die Tür und wissen von deinen geloggten Gewohnheiten ja dann auch wie lange sie Zeit zum ausräumen haben …

Ja, die öffnen dir evtl. tatsächlich die Tür.
In ein paar Jahren vieleicht. zzt kommen sie noch mit Brecheisen und Gewalt. Nicht per SSL Bug und IPhone.

greez
bb

Die aktuelle SSL Version ist nun im stable Update.