thecritter
Goto Top

Angeblich Sicherheitsproblem bei Debian trotz aktuellem OpenSSL

Hallo,
ich habe meinen Server mit dem Test von SSLlabs getestet und es wird mir das angezeigt:
"This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107) and insecure. Grade set to F."
Angeblich wurde dieses Problem aber mit dem Update von OpenSSL v 1.0.1t gelöst. Diese ist auch installiert. Warum wird mir aber trotzdem das angezeigt. Kann man sich auf diesen Test nicht verlassen oder hat da Debian geschlampt? Andererseits steht im Changelog von dem Debian Paket das genau der Bug vor paar Versionen schon gefixt wurde.
Hab auch schon den Server neu gestartet. Hilft aber nicht.

Content-ID: 308027

Url: https://administrator.de/contentid/308027

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

Chonta
Chonta 23.06.2016 um 17:10:53 Uhr
Goto Top
Hallo,

wurde auch die Anwendunge die SSL verwendet und getestet wird neu gestartet?

Gruß

Chonta
TheCritter
TheCritter 23.06.2016 um 17:21:12 Uhr
Goto Top
Ja den Apache-Server habe ich auch neu gestartet. Habe auch keine vorgeschalteten Proxys oder Load Balancer
Chonta
Chonta 23.06.2016 um 17:27:42 Uhr
Goto Top
Kann auch ein FP sein, ggf ist Deine VErsion gepatcht, aber hat eine falsche Versionsnummer die als ungepatcht gilt.

Gruß

Chonta
TheCritter
TheCritter 23.06.2016 um 17:38:09 Uhr
Goto Top
Den Verdacht hatte ich auch, aber eigentlich steht das ja wie gesagt in dem Changelog dass sie das behoben hatten:
http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openss ...
openssl (1.0.1k-3+deb8u5) jessie-security; urgency=medium
...
    • Fix CVE-2016-2107
    ...

    Hoffe nicht dass die das mit einer späteren Version wieder rein gepatcht haben ^^

    Vielleicht sollte ich dem Problem einfach nicht so viel Aufmerksamkeit schenken da ich kaum glaube dass das jemand bei meinem unbedeutenden Server ausnutzen würde
Cthluhu
Cthluhu 23.06.2016 um 17:53:11 Uhr
Goto Top
Hi,

SSLlabs hat nen internen cache und scannt nicht jedesmal neu. Vllt wird dir noch der alte Scan angezeigt.

mfg

Cthluhu
108012
108012 23.06.2016 um 19:38:37 Uhr
Goto Top
Hallo,

Debian ist nicht unbedingt dafür bekannt mit Fixen und Updates oder gar Upgrades schnell bei der
Hecke zu sein. und von daher würde ich immer andere Linux Distros bei einem Server mit Internetkontakt
vorschlagen wollen. Denn eines ist jetzt schon sicher, man bekommt sehr oft das schlechte Bauchgefühl
nicht mehr weg oder bleibt verunsichert. Wir halten das bei uns wie folgt;
- Große Server mit Internetkontakt - RedHat
- Große Server im LAN ohne Internetkontakt - OpenSUSE
- Kleinere / Mittlere Abteilungsserver ohne Internetkontakt - Debian
- Kleinere / Mittlere Server jeglicher Art mit Internetkontakt - CentOS

- RedHat kostet hat aber schnell ein Update parat
- OpenSUSE kostet hat aber in der Regel auch recht schnell ein Update parat
- Debian kommt nicht so schnell hinterher aber bei einem Abteilungsserver ist das weniger kritisch
- CentOS von vorne herein ("ab Werk") schon gehärtet und bekommt auch recht flott Updates und Upgrades

SSLlabs hat nen internen cache und scannt nicht jedesmal neu. Vllt wird dir noch der alte Scan angezeigt.
Kann auch bei dem Testserver der Fall sein! Ich meine zu der IP und/oder MAC Adresse das da noch etwas
in deren Cache vorhanden ist, oder aber der Test selber nicht mehr aktuell oder Fehler behaftet ist.

Gruß
Dobby
Sheogorath
Lösung Sheogorath 23.06.2016 um 21:15:55 Uhr
Goto Top
Moin,

Wenn du wirklich wissen willst, womit du es zu tun hast, wie diese Sicehrheitslücke funktioniert und wie du selbst testen kannst, ob du davon betroffen bist oder nicht, empfehle ich dir folgenden Artikel zu lesen:
https://blog.cloudflare.com/yet-another-padding-oracle-in-openssl-cbc-ci ...

Ganz davon abgesehen, solltest du deine Cipher ggf. überarbeiten. dazu empfehle ich dir folgende Seite:
https://mozilla.github.io/server-side-tls/ssl-config-generator/

Damit solltest du die Kommunikation mit deinem Server sicherer bekommen.

Dass du Debian nutzt, ist an sicher kein Problem. Sicherheitslücken haben hier ebenso wie bei anderen Distributionen höchste Priorität und werden über die Security Repositories auch sauber verteilt. Allerdings baut man bei Debian auf "solide Software" mit anderen Worten, man wartet bis bewiesen ist, dass das Zeug wirklich läuft. Früher war dass sehr empfehlenswert heute haben sich ja zum Glück automatisierte Tests durchgesetzt. Dennoch macht man damit wenig falsch, solange die Entwickler mit Debian zusammenarbeiten. Denn wenn eine Sicherheitslücke irgendwo intern in einer Version gefixt wird, und nicht annonced, dann bleibt eben eine ungefixte Version im Debian Repo, bis zum nächsten Stable release oder bekannt werden der Lücke. (Wenn man mal mit den Package Managern dort zu tun hat, stellt man fest, dass sie eigentlich sehr zuvorkommend sind ;) Man muss halt nur mal mit ihnen sprechen :D)

CentOS funktioniert aufgrund seiner Nähe zu RedHat Enterprise Linux natürlich bestens und ist deshalb auch in Security Dingen sehr weit vorne dabei. Warum man sich OpenSUSE antun will, sehe ich jetzt zwar nicht, aber wer drauf steht ^^ Dann doch lieber ein Ubuntu, dass aber aufgrund seiner init-Struktur bei mir eher unten durch ist. Inzwischen verlasse ich mich allgemein einfach auf CoreOS, aber das ist abhängig vom Usecase und für klassische Server eher ungeeignet.

Gruß aus der Cloud ;)
Chris
TheCritter
TheCritter 24.06.2016 um 09:32:10 Uhr
Goto Top
@Cthluhu: Nach dem Neustart hab ich den Cache bei SSLlabs gelöscht. Es hat dann wieder paar Minuten gedauert und das Ergebniss war das Gleiche
TheCritter
TheCritter 24.06.2016 um 09:52:28 Uhr
Goto Top
@108012: mit CentOS kenne ich mich nicht so aus. Eigentlich nehme ich sonst (auf Arbeit oder privat) Ubuntu. Die haben schneller eine neuere Version. Aber wie auch Sheogorath schreibt werden wohl trotzdem bei Debian die Sicherheitslücken schnell geschlossen. Die patchen halt lieber als eine neue Version zu nehmen.
Debian hatte ich genommen da ich auf dem Server ursprünglich Open-Xchange installiert hatte und es keine Ununtu Pakete gab.
Ggf schaue ich mal ob ich eine Quelle mit einem aktuellen OpenSSL 1.0.2 finde. Ansonsten werde ich mich wie gesagt einfach damit abfinden.

Zum Cache, ich habe den Server mal über diese andere Seite direkt auf die Lücke getestet und da steht auch er wäre angreifbar:
https://filippo.io/CVE-2016-2107/
117471
117471 24.06.2016 um 09:56:08 Uhr
Goto Top
Hallo,

die Versionsnummer lässt keine Rückschlüsse auf die Qualität bzw. den Sicherheitslevel der Software zu.

Ob ich jetzt Version 10 mit Sicherheitspatch 1, Sicherheitspatch 2 und Sicherheitspatch 3 installiert habe oder Version 11 (die die drei Patches bereits beinhaltet) ist letztendlich "Jacke wie Hose".

Gruß,
Jörg
TheCritter
TheCritter 24.06.2016 um 10:18:54 Uhr
Goto Top
Nachtrag, ich habe jetzt meine Apache Config weiter angepasst so dass nur TLS 1.2 erlaubt ist. Jetzt bekomme ich da ein A+
Eigentlich hatte ich die Config damals auch mit diesem Generator erstellt:
https://mozilla.github.io/server-side-tls/ssl-config-generator/
Wer weis... klappt jetzt face-smile
108012
108012 24.06.2016 um 13:13:56 Uhr
Goto Top
mit CentOS kenne ich mich nicht so aus. Eigentlich nehme ich sonst (auf Arbeit oder privat) Ubuntu.
Mag sein aber auf der Arbeit oder privat sind auch Unterschiede wie Tag und Nacht. Wenn private
Daten flöten gehen oder missbraucht werden muss ich das mit mir selber abmachen, und wenn
das auf der Arbeit passiert ist das eben ganz was anderes. und ich unterscheide nicht zwischen
privat und Arbeit sondern zwischen Internetkontakt und nicht Internetkontakt. Und CentOS kommt
schon "gehärtet" "ab Werk"!!! Und das tut Ubuntu nicht!

Die haben schneller eine neuere Version. Aber wie auch Sheogorath schreibt werden wohl
trotzdem bei Debian die Sicherheitslücken schnell geschlossen.
Bei bei RedHat kommt auch keine neue Version auf den Markt nur weil es irgend wo ein Problem
gibt, nur ob man bei einem Apache Server darauf wrten möchte oder kann oder sogar darf ist doch
hier die Frage.

Die patchen halt lieber als eine neue Version zu nehmen.
Debian ist deswegen nicht schlechter, aber sie haben eben nicht immer die neuste Version
parat und wenn man etwas über das Internet verfügbar machen möchte ist dies halt mitunter
unerlässlich.

Debian hatte ich genommen da ich auf dem Server ursprünglich Open-Xchange installiert
hatte und es keine Ununtu Pakete gab.
Ich sehe das halt anders herum, ich möchte nicht erst noch ein OS härten und bei Problemen
noch lange warten auf Patches, Updates/Upgrades und Hilfen.

Ggf schaue ich mal ob ich eine Quelle mit einem aktuellen OpenSSL 1.0.2 finde. Ansonsten
werde ich mich wie gesagt einfach damit abfinden.
Macht halt jeder wie er will, kann und darf. ist ja auch nicht weiter schlimm.

Gruß
Dobby
117471
117471 24.06.2016 um 14:21:37 Uhr
Goto Top
Hallo,


Und CentOS kommt schon "gehärtet" "ab Werk"!!! Und das tut Ubuntu nicht!

Ein schönes Beispiel: Ich habe bei einem Kunden einen Linux-Server vorgefunden und musste etwas via Shell fixen.

Da SSH nicht lief, habe ich einen Monitor im Serverraum angeschlossen, mich auf der grafischen Konsole eingeloggt und wollte unter Gnome das Terminalprogramm starten.

Mangels Maus habe ich unter Gnome die Windows-Taste gedrückt, "Term..." getippt und wirklich nicht schlecht gestaunt, als mir das Teil Werbelinks (sic!) für Terminator-DVDs bei Amazon präsentiert hat. Wohlgemerkt - auf einem Server...

Sorry wenn ich das so direkt sage - aber meiner Meinung nach ist Ubuntu ein Klicki-Bunti-Linux für Leute, denen man auf der ersten Seite von der Bedienungsanleitung schreiben muss, dass die silberne Seite vom Datenträger nach unten gehört. Auf der Monats-CD von der ComputerBILD mag es gut aufgehoben sein (solange man es nicht installiert), aber im gewerblichen Einsatz taugt das maximal für "Unterstützungsprozesse ohne Netzwerkverbindung und Sicherheitsanspruch".


Debian ist in den meisten Fällen eine gute, konservative Lösung - zumal viele Anleitungen, HowTos usw. auf Debian und deren Derivate bezogen sind. Allerdings resultiert der Konservativismus(?) auch darin, dass man öfter mal nach Problemen sucht, die man unter anderen Distributionen nicht hat (ich sag' nur "HTTP Error 500 bei Verwendung der soap-Schnittstelle vom Mantis Touch").


Was bei CentOS schön ist, ist, dass es ein relativ sauber konfiguriertes SELinux mitbringt. Wenn der Administrator nicht dem Wahnsinn unterliegt und SELinux konfiguriert (...statt es abzuschalten...), dann hat man relativ fix ein gut abgesichertes System.


Gruß,
Jörg
Chonta
Chonta 24.06.2016 um 14:33:54 Uhr
Goto Top
Hallo,

Mangels Maus habe ich unter Gnome die Windows-Taste gedrückt, "Term..." getippt und wirklich nicht schlecht gestaunt, als mir das Teil Werbelinks (sic!) für Terminator-DVDs bei Amazon präsentiert hat. Wohlgemerkt - auf einem Server...

Also dann ist das nicht Ubuntu Server sondern Ubuntu Desktop oder man hat den Desktop nachinstalliert.
Ubuntu Desktop =! Ubuntu Server.
Konfiguration und Pakete (z.B. fehlender ssh Server) sagen schon worauf das abziehlt, Desktopeinsatz.

Debian ist in den meisten Fällen eine gute, konservative Lösung
Richtig und wer aktuellere Software und deren Funktionen braucht verwendet UbuntuServer oder wenn man ne GUI braucht, ohne Gnome3 oder Unity (das war warscheinlich das mit den Amazonliks für Terminator)

Und die VErwendung TLS 1.2 oder nicht hat nix mit der Version von Openssl zu tun... Sondern ob der Webserver TLS 1.0 oder 1.1 erlaubt oder nicht.

Ich persöhnlich mag deb basierte Systeme mehr als rpm face-smile

Gruß

Chonta
117471
117471 24.06.2016 um 14:46:43 Uhr
Goto Top
Hallo,

Also dann ist das nicht Ubuntu Server sondern Ubuntu Desktop oder man hat den Desktop nachinstalliert.
Ubuntu Desktop =! Ubuntu Server.

Unabhängig davon ist es ein eindeutiges Indiz dafür, dass die für die Distribution Verantwortlichen keinerlei Verständnis für die Ansprüche an ein halbwegs sicheres und intuitiv bedienbares Computerbetriebssystem haben.

Das Vertrauen in den Namen ist weg - ausdieMaus.

Ich persöhnlich mag deb basierte Systeme mehr als rpm face-smile

Ich persönlich lege eher Wert auf den Inhalt der Pakete und nicht auf das Format, in dem sie gepackt sind.

Gruß,
Jörg
TheCritter
TheCritter 27.06.2016 um 12:05:53 Uhr
Goto Top
Zitat von @Chonta:


Und die VErwendung TLS 1.2 oder nicht hat nix mit der Version von Openssl zu tun... Sondern ob der Webserver TLS 1.0 oder 1.1 erlaubt oder nicht.

Der Fehler war ja nicht dass eine OpenSSL Version < 1.x verwendet wurde, sondern dass es eine Sicherheitslücke gab. Wie bereits oben geschrieben ist es natürlich seltsam dass Debian behauptet sie ist gefixt, 2 verschiedene Tests sagen aber das Gegenteil.
Ggf gab es nur die Lücke wenn OpenSSL < 1.x (also nicht gefixt) und zusätzlich das TLS 1.0 aktiviert war da man diese Lücke nur unter TLS 1.0 o.ä. ausnutzen kann. Ich weis es nicht, ich kann nur sagen mit veränderter Config und der gleichen OpenSSL Version zeigten beide Tests vorher eine Sicherheitslücke an