[Berlin-wireless] Igitt - OpenVPN mit libopenssl_1.0.1

Sven-Ola Tuecke sven-ola
Mi Apr 9 16:44:16 CEST 2014 

Hey,

ordentlich Hektik bei Server-Adminsens derzeit. Ich probier' mal eine
Analyse für uns Freifunkas.

Einige unserer Router könnten auch betroffen sein. Und zwar wenn OpenVpn
mit der betroffenen Version von libopenssl verwendet wird. Die
VPN-Server upzudaten ist ja eine leichte Übung, aber es gibt garantiert
auch Clients mit dem Kram. Bin noch nicht sicher, ob das überhaupt von
außen angreifbar ist - aber hier ein paar Punkte:

- SSH ist angeblich nicht betroffen - unseres sowieso nicht, weil
dropbear gar kein OpenSSL benutzt.

- Evt. geht das gar nicht via UDP sondern nur bei TCP-Verbindung (TCP
nutzt bei uns so gut wie niemand). Und wenn, dann nur von vpn03 bzw.
vpn03-backup aus. Weiss ich jetzt aber auch nicht genau.

- PolarSSL und ältere OpenSSL (0.9.8xxx) sind nicht betroffen. Also die
aktuellen PBerg-Firmwares nicht (Polar) und auch nicht die
Uralt-Freifunk-Firmware (0.9.8) von mir. Selbstgedengelte Firmware aber
möglicherweise schon. Oder selbst aus irgend einem Grund mal
openssl-1.0.1e installiert. Scheitert normalerweise am Speicherplatz,
aber die Backfire oder Attitude Versionen der LibOpenSSL auf
download.berlin.freifunk.net dürften betroffen sein.

- Die "RAM-Install-Pakete" hatte ich vor einiger Zeit mal auf Polar
umgestellt. Ich lösche trotzdem sicherheitshalber die dort angebotenen
OpenSSL-Versionen vom vpn03:download-Account. Falls das noch irgendwer
benutzt. Einfach eine neue Version mit alten Dateinamen hochladen geht
leider nicht, weil die Clients sich die md5-Prüfsumme merken und den
Download geänderter Version ablehnen würden (ein Sicherheitsfeature).
Wer an dem Ram-Disk-Install-Script 'rumgefummelt hat muss jetzt
nachbessern, sonst kein VPN03.

- Das Ubiquity-Zeugs habe ich jetzt nicht geprüft - aber für HTTPS haben
die doch hoffentlich nicht das fette openssl verwendet und im ubnt-Forum
ist es vergleichweise ruhig. Kann mal jemand auf eine Ubnt gucken?

Für einen Selbsttest ausführen: "opkg list-installed|grep ssl". Wenn da
openssl 1.0.1e drin steht wird es installiert sein und wahrscheinlich
von irgend einem Programm auf dem Router benutzt.

HTH // Sven-Ola

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140409/2a3657ae/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin