[Berlin-wireless] Igitt - OpenVPN mit libopenssl_1.0.1

[Sven-Ola Tuecke]

Moins,

ja - sollte passen. Es ist sicher uneffektiv: diese fette libopenssl nur
für wget, aber egal. Wenn ich den Heartbleed richtig verstanden habe,
kann folgendes passieren:

- du / irgendein script ruft wget https://hacked.server auf.
- hacked.server kann möglicherweise 64k-weise in  Speicher deines wget
gucken
- hat das wget zu dieser Zeit nutzbare Infos (Keys, PW, Cookies) sind
die auslesbar

Es ist recht unwahrscheinlich, dass du das wget auf deinem Router mit
dieser Art Informationen fütterst und noch unwahrscheinlicher, dass es
sich um wertvolle Informationen von allgemeinen Interesse handelt. Aber
eben nicht unmöglich.

HTH // Sven-Ola

Am 09.04.2014 22:02, schrieb Joerg Albert:
> Hallo,
>
> danke fuer den Hinweis mal nachzusehen, ich dachte zuerst nur an dropbear == nicht betroffen.
> Hier läuft eine RouterStation (non-Pro) mit pberg-221 für die Verbindung zum VPN03:
>
> root at behaim4-tunnel:~# opkg list-installed | grep ssl
> libopenssl - 1.0.1e-1
> root at behaim4-tunnel:~# opkg whatdepends libopenssl
> Root set:
>   libopenssl
> What depends on root set
> 	wget 1.13.4-1	depends on libopenssl
>
>
> Das openvpn, das von vpn03-install-to-ramdisk installiert wird, benutzt, wie gesagt, PolarSSL. Die Skripte in ihm rufen,
> wenn ich nichts übersehen habe, wget nur für http:// auf und auch nur für die definierte Liste von Hosts.
>
> Das sollte so passen, oder?


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140410/8789a41b/attachment.pgp>