Heartbleed ...
Manchmal lohnt es sich, ein konservativer Administrator zu sein. Heartbleed ist die Sicherheitslücke in OpenSSL 1.0.1, die dazu führt, dass Angreifer zufällige Daten aus dem Speicher des Servers lesen können.
Ich habe natürlich brav im Rudelreflex ein neues Zertifikat erstellt und wollte auch den Hostnamen ändern bis ich mal - ausnahmsweise - so schlau war, mir die Versionsnummern genauer anzuschauen.
Der Server läuft mit Debian 6.0.9 oder Squeeze (Oldstable). Und in Squeeze ist die Version 0.9.8 von OpenSSL enthalten, die nicht vom der Sicherheitslücke betroffen ist.
Wer lesen kann ...
Ich habe natürlich brav im Rudelreflex ein neues Zertifikat erstellt und wollte auch den Hostnamen ändern bis ich mal - ausnahmsweise - so schlau war, mir die Versionsnummern genauer anzuschauen.
Der Server läuft mit Debian 6.0.9 oder Squeeze (Oldstable). Und in Squeeze ist die Version 0.9.8 von OpenSSL enthalten, die nicht vom der Sicherheitslücke betroffen ist.
Wer lesen kann ...
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Josef Moosbauer am :
Ja, kein heartblead in 0.9.8 aber hast du dir mal angeschaut ob deine unterstützen ciphers
PFS können. Und welche TLS Versionen unterstütz werden ?
Hast du dir deinen Server (bzw. die SSL Fähigkeiten) mit https://www.ssllabs.com/ssltest/ von Ivan Ristic angeschaut.
liebe Grüße
Sepp
Dirk Deimeke am :
Natürlich werden nur die Funktionen unterstützt, die OpenSSL in der installierten Version auch anbietet.