Nieuws:

We zijn er weer.

Na lange tijd van afwezigheid zijn we er weer  :laugh:
We hebben alle wachtwoorden gereset, je oude wachtwoord werkt niet meer.Je moet via het "wachtwoord vergeten"-linkje je wachtwoord resetten. Je krijgt hiervoor een mailtje op het adres dat je bij ons geregistreerd hebt.

De komende tijd zijn we nog druk bezig om de rest van de site op te bouwen, dus het kan zijn dat sommige onderdelen (tijdelijk) niet werken.

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Heartbleed: een gevaar voor Ubuntu?  (gelezen 1880 keer)

Offline Old man

  • Lid
  • Steunpunt: Nee
Linux Mint 17.3 met Cinnamon 64 bits -> VirtualBox -> Windows 10 op  Acer Aspire V3 771G.

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #1 Gepost op: 2014/04/15, 11:47:14 »
Ubuntu en andere Linux'en hebben de update die dit fixt allang gehad. Het is nu aan websites om het lek op hun servers te dichten.

Offline Old man

  • Lid
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #2 Gepost op: 2014/04/15, 16:51:02 »
Dank je wel Femke (of is het Angela?)

Het door jou als eerste gegeven commando vertelt me dat ik in mijn Linux Mint 16 Cinnamon de nieuwste versie heb.

Bart
Linux Mint 17.3 met Cinnamon 64 bits -> VirtualBox -> Windows 10 op  Acer Aspire V3 771G.

Offline SeySayux

  • Lid
    • SeySayux.net
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #3 Gepost op: 2014/04/15, 17:17:04 »
Als je gewoon de updates installeert, krijg je normaal gezien vanzelf de update binnen.

Als je een website hebt met een SSL-certificaat, is het een goed idee om het certificaat weg te gooien en een nieuw te genereren.
I use a Unix-based system, that means I'll get laid as often as I have to reboot.
LibSylph
SeySayux.net

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Ja
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #4 Gepost op: 2014/04/15, 21:54:39 »
Ubuntu en andere Linux'en hebben de update die dit fixt allang gehad. Het is nu aan websites om het lek op hun servers te dichten.
Hallo, waar baseer je dit op? Ik heb hier twee Xubu's draaien, beide 13.04, en als ik in een terminal $ openssl versiondoe, krijg ik nog steeds als antwoord OpenSSL 1.0.1e 11 Feb 2013 De versies tot en met 1.0.1e en f (meen ik) zijn niet okay, versie g wel. Ik zit dit al een dag of wat in de gaten te houden, maar Software Updater geeft me geen nieuwe versie. $sudo apt-get update && apt-get upgrade geeft me ook geen nieuwere versie. Op Engelstalige Ubuntu-forums heb ik de suggestie gelezen dat versie 1.0.1e gepatcht is, waarmee het lek gedicht zou zijn. Probleem is alleen dat ik dat niet bevestigd kan krijgen, met als resultaat dat ik op dit moment niet zeker weet of mijn Xubutu wel geschikt is om mijn bank te bezoeken bijvoorbeeld. Voor het moment wacht ik daar maar even mee (valt toch nix leuks te beleven daar...  :evil: ).


Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #5 Gepost op: 2014/04/15, 21:59:57 »
@Paul: Hallo, ik baseer dit op de huidige ondersteunde versies van Linux. 13.04 is allang begraven dus die krijgt geen updates meer.

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Ja
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #6 Gepost op: 2014/04/15, 22:11:57 »
@Paul: Hallo, ik baseer dit op de huidige ondersteunde versies van Linux. 13.04 is allang begraven dus die krijgt geen updates meer.
Excuseer, heb hier twee keer 13.10 draaien, niet 13.04. Mijn vraag blijft dus overeind.

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #7 Gepost op: 2014/04/15, 22:14:11 »
@Paul: Hallo, ik baseer dit op de huidige ondersteunde versies van Linux. 13.04 is allang begraven dus die krijgt geen updates meer.
Excuseer, heb hier twee keer 13.10 draaien, niet 13.04. Mijn vraag blijft dus overeind.

In dat geval baseer ik me op de laatst vrijgegeven update. Wellicht heb je hem over het hoofd gezien want hij is op 7 april al in 13.10 terecht gekomen:
http://www.ubuntuupdates.org/package/core/saucy/main/security/openssl

"Version: 1.0.1e-3ubuntu1.2   2014-04-07 22:07:27 UTC
  openssl (1.0.1e-3ubuntu1.2) saucy-security; urgency=medium

  * SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
CVE-2014-0160    OpenSSL 1.0.1 TLS/DTLS hearbeat information disclosure
"
« Laatst bewerkt op: 2014/04/15, 22:16:04 door Vistaus »

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Ja
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #8 Gepost op: 2014/04/15, 22:29:00 »
Ah dank u, heb dat idd. kennelijk over het hoofd gezien. Dit betekent dus inderdaad dat die e-versie gepatcht is zonder dat het versienummer is gewijzigd? Blijf het toch raar vinden dat de datum van 'openssl version' op 2013 blijft staan (en ik ben kennelijk de enige niet, afgaande op de forums/fora). Nu ja, kan ik weer vrolijk bankieren dus!

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #9 Gepost op: 2014/04/15, 22:51:33 »
Graag gedaan :)

Nuja, het gaat erom dat versie e vrijgegeven is in 2013. Deze patch verhelpt alleen een gat en dus blijft de datum van de versie zelf ongewijzigd. Als ik morgen (in 2014 dus) een laptop uit 2005 krijg met een kapot toetsenbord, ik vervang het toetsenbord en ik geef de laptop aan jou, dan is de laptop nog steeds in 2005 gebouwd ook al heb ik hem in 2014 gerepareerd ;)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #10 Gepost op: 2014/04/15, 22:58:45 »
Nu is de bug gelukkig gemeld zodat het kon worden gefixt. Maar... de fout zit er al meer dan 2 jaar in en het is open source. Is het denkbaar dat iemand anders de fout al eerder heeft opgemerkt maar de bug niet heeft gemeld?

Vast niet maar anders was het twee jaar lang mogelijk voor onbekenden om gegevens (zoals wachtwoorden) die door het OpenSSL "slotje" waren beveiligd onopvallend uit te lezen. "Leuk" stripje hierover: https://xkcd.com/1353/

Op sites die gebruik maakte van OpenSSL (OpenSSL is de meest gebruikte software voor het veiligheidslotje in je browser, dus op de meeste sites) kan je voor de zekerheid een nieuw wachtwoord instellen. Stripje met "technische" uitleg: https://xkcd.com/1354/
« Laatst bewerkt op: 2014/04/15, 23:00:43 door testcees »
Klik links bovenin op Documentatie

Offline Nero

  • Lid
  • Steunpunt: Ja
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #11 Gepost op: 2014/04/15, 23:02:43 »
Is het denkbaar dat iemand anders de fout al eerder heeft opgemerkt maar de bug niet heeft gemeld?
Vast staat dat NSA reeds 2 jaar van het lek heeft gebruik gemaakt en het bewust heeft verzwegen :evil:

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #12 Gepost op: 2014/04/15, 23:34:23 »
Is het denkbaar dat iemand anders de fout al eerder heeft opgemerkt maar de bug niet heeft gemeld?
Vast staat dat NSA reeds 2 jaar van het lek heeft gebruik gemaakt en het bewust heeft verzwegen :evil:

En wie weet de AIVD ook wel, aangezien die er ook geen moeite mee hadden ons de afgelopen jaren af te luisteren en de informatie door te spelen ;)

Offline Timo

  • Forumteam
    • timo.diedering
  • Steunpunt: Ja
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #13 Gepost op: 2014/04/16, 08:19:38 »
Waarom zou dat hebben geholpen? Je kijkt daar alleen mee of er een update beschikbaar is. Paul keek naar het versienummer. En er waren geen updates beschikbaar, zei hij.

Dan kun je nog zoveel PPA's toevoegen met alle risico's van dien, maar dat is dikke onzin, hij had tenslotte al de nieuwste versie. Ik zie je punt dus even niet.
Trotse eigenaar van een Nokia N900, een Nokia N9 en een Jolla.

Offline aartje

  • Lid
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #14 Gepost op: 2014/04/16, 10:09:46 »
Volgens mij is Mint 14 nog niet ge-update:

netbmint #aartje openssl version
OpenSSL 1.0.1c 10 May 2012
netbmint aartje # exit
aartje@netbmint ~ $ openssl version
OpenSSL 1.0.1c 10 May 2012
aartje@netbmint ~ $ sudo apt-get --only-upgrade -y install openssl
[sudo] password for aartje:
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd
Statusinformatie wordt gelezen... Klaar
openssl is reeds de nieuwste versie.
0 pakketten opgewaardeerd, 0 pakketten nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.
aartje@netbmint ~ $ lsb_release -a
LSB Version:    core-2.0-ia32:core-2.0-noarch:core-3.0-ia32:core-3.0-noarch:core-3.1-ia32:core-3.1-noarch:core-3.2-ia32:core-3.2-noarch:core-4.0-ia32:core-4.0-noarch
Distributor ID: LinuxMint
Description:    Linux Mint 14 Nadia
Release:        14
Codename:       nadia


Dit eerst gedaan:
#!/bin/bash
sudo apt-get update && sudo apt-get upgrade && sudo apt-get dist-upgrade
« Laatst bewerkt op: 2014/04/16, 10:11:21 door aartje »

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #15 Gepost op: 2014/04/16, 10:37:15 »
Voor de volledigheid, je eigen computer voorzien van de nieuwste OpenSSL is goed maar lost niet alles (of niets?) op. Het probleem zit vooral aan de serverkant.
Zolang de site (webserver) niet de nieuwe OpenSSL versie gebruikt zijn gegevens (wachtwoorden e.d.) die je stuurt naar de site nog steeds voor anderen te lezen.
Klik links bovenin op Documentatie

Offline aartje

  • Lid
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #16 Gepost op: 2014/04/16, 10:39:56 »
Ik lees toch echt dit Aartje:

Citaat
openssl is reeds de nieuwste versie.
Ja maar het  is wel versie 1.01c en dat lijkt nog een niet veilige versie.
Ik heb er ook min16 op draaien (dualboot) en die geeft versie 1.01e

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #17 Gepost op: 2014/04/16, 11:24:22 »
@aartje: Voor zover ik begreep zijn alleen versie e en f kwetsbaar. Maar misschien zit ik ernaast. Misschien heeft Mint versie c al gepatcht, net als Ubuntu versie e gepatcht heeft. Dan blijft het dus wel versie c. Kijk eens in je Mint-updategeschiedenis of dat zo is.


Maar goed, nogmaals: 1.01e is gepatcht in Ubuntu en Mint 16, dus als je de updates sinds vorige week draait is die up-to-date :)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #18 Gepost op: 2014/04/16, 13:27:41 »
Een lijst met bekende sites die kwetsbaar waren en waar je beter een andere wachtwoord voor kan instellen, http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ bevat namen als Facebook, Google, Yahoo, Dropbox, en meer.

Een test op https://lastpass.com/heartbleed/ geeft ook voor minder bekende sites het advies je wachtwoord te wijzigen zoals voor one.ubuntu.com, login.ubuntu.com, forum.ubuntu-nl.org (zal wel meevallen, deze site gebruikt standaard geen https/openssl), login.ziggo.nl, bol.com, geenstijl.nl, enz. enz. Veel plezier met deze test!  :P
Klik links bovenin op Documentatie

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #19 Gepost op: 2014/04/24, 20:52:36 »
Positief van deze bug: Microsoft en andere technologiebedrijven hebben afgesproken meer te gaan investeren in de open source projecten! Onder andere door het (laten) controleren op beveiligingsaspecten.

Hierdoor wordt het ”fabeltje sprookje” dat “open source veiliger is omdat iedereen de code kan controleren op fouten” een beetje meer waarheid als het ook werkelijk wordt nagekeken door iemand (met verstand van zaken).
Met Microsoft producten steun je dus een (heel) klein beetje dat open source veiliger wordt.  :P
Direct doneren kan natuurlijk ook: link.
Klik links bovenin op Documentatie

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Heartbleed: een gevaar voor Ubuntu?
« Reactie #20 Gepost op: 2014/04/24, 21:12:26 »
Microsoft was toch al beziger een beetje opener te worden. OneNote Online, Office Online en OneDrive zijn allemaal met HTML5 gemaakt. Ik kan op elke browser, ongeacht het OS (in mijn geval Bodhi, Arch Linux en AmigaOS 4.1), er keurig bij en er keurig mee werken. En de OneNote Online Clipper hebben ze geschreven in JavaScript, wederom OS-onafhankelijk dus. Dus alleen maar mooi dat ze nu nóg meer in open spul gaan investeren! :)

Overigens zijn de makers van OpenSSL momenteel bezig aan een complete rewrite van OpenSSL.