|
||
| von ZeroCool am 10.04.14 um 19:59 | ||
| Antwort auf: Re:Heftige Sicherheitslücke in OpenSSL von Zodiac | ||
>Man selbst kann da aber nichts machen, oder?
Nein. Du solltest sicherheitshalber das Passwort bei wichtigen Seiten ändern, wenn der Serverbetreiber den Patch (falls der Server verwundbar war) und wünschenswerterweise neue Zertifikate installiert hat. Du kannst beides hier checken http://possible.lv/tools/hb/ > Ich meine wenn sich ein Angreifer jetzt z.B. mit dem PCX-Forum verbindet dann kann er ja ohne dass ich darauf Einfluss habe mein Passwort auslesen.
Im Prinzip ja, wenn der Server zum Zeitpunkt des Angriffs dein Passwort im Speicher hatte und der Webserver eine openssl Version mit dem Bug verwendet. Zumindest während dem Login hat ein Server dein PW im Klartext im Speicher. Vermutlich auch länger. OpenSSL wird eigentlich bei allen Linux/Unix Webservern verwendet. Ob in der verwundbaren Variante kommt auf den Serverbetreiber an. Die Lücke ist schon seit 2 Jahren in OpenSSL1.0.1. Also dürfte sie gut verbreitet sein. Bei uns ist es so, dass der Webserver kein OpenSSL verwendet und auch die TLS Heartbeat Extension nicht unterstützt. Somit waren wir von diesem Problem nicht betroffen. |
||
| < antworten > | ||