Heartbleed

Es gibt seit geraumer Zeit einen OpenSSL Bug, der jetzt offenbar „wiederentdeckt“ wurde.
Trägt den schönen Namen Heartbleed.

Und zwar konnte man zwischen den Versionen OpenSSL 1.0.1 bis 1.0.1f die als sicher übertragen geltenden Daten ganz einfach unverschlüsselt auslesen.
Naja, lasst uns mal aus einer Mücke keinen Elefanten machen, strenggenommen muss dann sich schon jemand zwischen Sender und Empfänger stecken, als Man in the Middle Attack/Eavesdropping bekannt.
Natürlich im Sinne von Wirtschaftsspionage dann ganz was schlimmes.

Mich persönlich hat es nicht gejuckt weil ich https einfach nur als Belustigung aktiviert habe.

Dennoch, als ich davon erfahren habe, zuerst von CCC, dann noch von einem Twitterfollower, habe ich einmal yum upgrade ausgelöst und siehe da, wie nicht anders von CentOS zu erwarten, eine gefixte Version der momentanen auf CentOS vertriebenen OpenSSL Library:

openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Apr 8 02:39:29 UTC 2014
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: dynamic


Hier ist für den ambitionierten Sicherheitsfanatiker ein schneller Test auffindbar, ob das eigene https betroffen ist.