Heartbleed: een gevaar voor Ubuntu?

[Old man]

Hoe moet ik hier in de ubuntu-omgeving op reageren?

http://www.nutech.nl/internet/3750211/internetlek-heartbleed-erger-dan-gedacht.html

http://www.nrc.nl/tech/2014/04/14/veiligheidslek-heartbleed-blijkt-nog-groter/

Bart

[Vistaus]

Ubuntu en andere Linux'en hebben de update die dit fixt allang gehad. Het is nu aan websites om het lek op hun servers te dichten.

[Old man]

Dank je wel Femke (of is het Angela?)

Het door jou als eerste gegeven commando vertelt me dat ik in mijn Linux Mint 16 Cinnamon de nieuwste versie heb.

Bart

[SeySayux]

Als je gewoon de updates installeert, krijg je normaal gezien vanzelf de update binnen.

Als je een website hebt met een SSL-certificaat, is het een goed idee om het certificaat weg te gooien en een nieuw te genereren.

[Paul Matthijsse]

Ubuntu en andere Linux'en hebben de update die dit fixt allang gehad. Het is nu aan websites om het lek op hun servers te dichten.

Hallo, waar baseer je dit op? Ik heb hier twee Xubu's draaien, beide 13.04, en als ik in een terminal

Code: [Selecteer]

$ openssl versiondoe, krijg ik nog steeds als antwoord

Code: [Selecteer]

OpenSSL 1.0.1e 11 Feb 2013 De versies tot en met 1.0.1e en f (meen ik) zijn niet okay, versie g wel. Ik zit dit al een dag of wat in de gaten te houden, maar Software Updater geeft me geen nieuwe versie.

Code: [Selecteer]

$sudo apt-get update && apt-get upgrade geeft me ook geen nieuwere versie. Op Engelstalige Ubuntu-forums heb ik de suggestie gelezen dat versie 1.0.1e gepatcht is, waarmee het lek gedicht zou zijn. Probleem is alleen dat ik dat niet bevestigd kan krijgen, met als resultaat dat ik op dit moment niet zeker weet of mijn Xubutu wel geschikt is om mijn bank te bezoeken bijvoorbeeld. Voor het moment wacht ik daar maar even mee (valt toch nix leuks te beleven daar...  ).

[Vistaus]

@Paul: Hallo, ik baseer dit op de huidige ondersteunde versies van Linux. 13.04 is allang begraven dus die krijgt geen updates meer.

[Paul Matthijsse]

@Paul: Hallo, ik baseer dit op de huidige ondersteunde versies van Linux. 13.04 is allang begraven dus die krijgt geen updates meer.

Excuseer, heb hier twee keer 13.10 draaien, niet 13.04. Mijn vraag blijft dus overeind.

[Vistaus]

@Paul: Hallo, ik baseer dit op de huidige ondersteunde versies van Linux. 13.04 is allang begraven dus die krijgt geen updates meer.

Excuseer, heb hier twee keer 13.10 draaien, niet 13.04. Mijn vraag blijft dus overeind.

In dat geval baseer ik me op de laatst vrijgegeven update. Wellicht heb je hem over het hoofd gezien want hij is op 7 april al in 13.10 terecht gekomen:
http://www.ubuntuupdates.org/package/core/saucy/main/security/openssl

"Version: 1.0.1e-3ubuntu1.2   2014-04-07 22:07:27 UTC
  openssl (1.0.1e-3ubuntu1.2) saucy-security; urgency=medium

  * SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
CVE-2014-0160    OpenSSL 1.0.1 TLS/DTLS hearbeat information disclosure
"

[Paul Matthijsse]

Ah dank u, heb dat idd. kennelijk over het hoofd gezien. Dit betekent dus inderdaad dat die e-versie gepatcht is zonder dat het versienummer is gewijzigd? Blijf het toch raar vinden dat de datum van 'openssl version' op 2013 blijft staan (en ik ben kennelijk de enige niet, afgaande op de forums/fora). Nu ja, kan ik weer vrolijk bankieren dus!

[Vistaus]

Graag gedaan

Nuja, het gaat erom dat versie e vrijgegeven is in 2013. Deze patch verhelpt alleen een gat en dus blijft de datum van de versie zelf ongewijzigd. Als ik morgen (in 2014 dus) een laptop uit 2005 krijg met een kapot toetsenbord, ik vervang het toetsenbord en ik geef de laptop aan jou, dan is de laptop nog steeds in 2005 gebouwd ook al heb ik hem in 2014 gerepareerd

[testcees]

Nu is de bug gelukkig gemeld zodat het kon worden gefixt. Maar... de fout zit er al meer dan 2 jaar in en het is open source. Is het denkbaar dat iemand anders de fout al eerder heeft opgemerkt maar de bug niet heeft gemeld?

Vast niet maar anders was het twee jaar lang mogelijk voor onbekenden om gegevens (zoals wachtwoorden) die door het OpenSSL "slotje" waren beveiligd onopvallend uit te lezen. "Leuk" stripje hierover: https://xkcd.com/1353/

Op sites die gebruik maakte van OpenSSL (OpenSSL is de meest gebruikte software voor het veiligheidslotje in je browser, dus op de meeste sites) kan je voor de zekerheid een nieuw wachtwoord instellen. Stripje met "technische" uitleg: https://xkcd.com/1354/

[Nero]

Is het denkbaar dat iemand anders de fout al eerder heeft opgemerkt maar de bug niet heeft gemeld?

Vast staat dat NSA reeds 2 jaar van het lek heeft gebruik gemaakt en het bewust heeft verzwegen

[Vistaus]

Is het denkbaar dat iemand anders de fout al eerder heeft opgemerkt maar de bug niet heeft gemeld?

Vast staat dat NSA reeds 2 jaar van het lek heeft gebruik gemaakt en het bewust heeft verzwegen

En wie weet de AIVD ook wel, aangezien die er ook geen moeite mee hadden ons de afgelopen jaren af te luisteren en de informatie door te spelen

[Timo]

Waarom zou dat hebben geholpen? Je kijkt daar alleen mee of er een update beschikbaar is. Paul keek naar het versienummer. En er waren geen updates beschikbaar, zei hij.

Dan kun je nog zoveel PPA's toevoegen met alle risico's van dien, maar dat is dikke onzin, hij had tenslotte al de nieuwste versie. Ik zie je punt dus even niet.

[aartje]

Volgens mij is Mint 14 nog niet ge-update:

netbmint #aartje openssl version
OpenSSL 1.0.1c 10 May 2012
netbmint aartje # exit
aartje@netbmint ~ $ openssl version
OpenSSL 1.0.1c 10 May 2012
aartje@netbmint ~ $ sudo apt-get --only-upgrade -y install openssl
[sudo] password for aartje:
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd
Statusinformatie wordt gelezen... Klaar
openssl is reeds de nieuwste versie.
0 pakketten opgewaardeerd, 0 pakketten nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.
aartje@netbmint ~ $ lsb_release -a
LSB Version:    core-2.0-ia32:core-2.0-noarch:core-3.0-ia32:core-3.0-noarch:core-3.1-ia32:core-3.1-noarch:core-3.2-ia32:core-3.2-noarch:core-4.0-ia32:core-4.0-noarch
Distributor ID: LinuxMint
Description:    Linux Mint 14 Nadia
Release:        14
Codename:       nadia


Dit eerst gedaan:
#!/bin/bash
sudo apt-get update && sudo apt-get upgrade && sudo apt-get dist-upgrade

[testcees]

Voor de volledigheid, je eigen computer voorzien van de nieuwste OpenSSL is goed maar lost niet alles (of niets?) op. Het probleem zit vooral aan de serverkant.
Zolang de site (webserver) niet de nieuwe OpenSSL versie gebruikt zijn gegevens (wachtwoorden e.d.) die je stuurt naar de site nog steeds voor anderen te lezen.

[aartje]

Ik lees toch echt dit Aartje:

openssl is reeds de nieuwste versie.

Ja maar het  is wel versie 1.01c en dat lijkt nog een niet veilige versie.
Ik heb er ook min16 op draaien (dualboot) en die geeft versie 1.01e

[Vistaus]

@aartje: Voor zover ik begreep zijn alleen versie e en f kwetsbaar. Maar misschien zit ik ernaast. Misschien heeft Mint versie c al gepatcht, net als Ubuntu versie e gepatcht heeft. Dan blijft het dus wel versie c. Kijk eens in je Mint-updategeschiedenis of dat zo is.

Maar goed, nogmaals: 1.01e is gepatcht in Ubuntu en Mint 16, dus als je de updates sinds vorige week draait is die up-to-date

[testcees]

Een lijst met bekende sites die kwetsbaar waren en waar je beter een andere wachtwoord voor kan instellen, http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ bevat namen als Facebook, Google, Yahoo, Dropbox, en meer.

Een test op https://lastpass.com/heartbleed/ geeft ook voor minder bekende sites het advies je wachtwoord te wijzigen zoals voor one.ubuntu.com, login.ubuntu.com, forum.ubuntu-nl.org (zal wel meevallen, deze site gebruikt standaard geen https/openssl), login.ziggo.nl, bol.com, geenstijl.nl, enz. enz. Veel plezier met deze test! 

[testcees]

Positief van deze bug: Microsoft en andere technologiebedrijven hebben afgesproken meer te gaan investeren in de open source projecten! Onder andere door het (laten) controleren op beveiligingsaspecten.

Hierdoor wordt het ”fabeltje sprookje” dat “open source veiliger is omdat iedereen de code kan controleren op fouten” een beetje meer waarheid als het ook werkelijk wordt nagekeken door iemand (met verstand van zaken).
Met Microsoft producten steun je dus een (heel) klein beetje dat open source veiliger wordt. 
Direct doneren kan natuurlijk ook: link.

[Vistaus]

Microsoft was toch al beziger een beetje opener te worden. OneNote Online, Office Online en OneDrive zijn allemaal met HTML5 gemaakt. Ik kan op elke browser, ongeacht het OS (in mijn geval Bodhi, Arch Linux en AmigaOS 4.1), er keurig bij en er keurig mee werken. En de OneNote Online Clipper hebben ze geschreven in JavaScript, wederom OS-onafhankelijk dus. Dus alleen maar mooi dat ze nu nóg meer in open spul gaan investeren!

Overigens zijn de makers van OpenSSL momenteel bezig aan een complete rewrite van OpenSSL.