Neue Sicherheitslücke namens Logjam entdeckt

Aktuelles rund um das Thema IT-Sicherheit

Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 17723 von Lumi » Mi 20. Mai 2015, 18:31

Forscher haben erneut eine Sicherheitslücke entdeckt, die es Angreifern ermöglichen soll Verschlüsselungen aufzubrechen und Daten abzugreifen. Von Logjam sollen unter anderem unzählige Websiten, Mailserver, die auf POP3 und IMAP setzen, und auch fast alle Browser betroffen sein. Ausnahme bildet wohl der Internet Explorer, bei dem die Sicherheitslücke laut Aussage von Microsoft schon beim letzten Patchday geschlossen worden sein soll. Für die Browser Firefox, Chrome und Safari wird wohl schon an Patches gearbeitet.

Quelle: Heise Logjam-Attacke
Benutzeravatar
Lumi
 
Beiträge: 971
Registriert: Mo 15. Sep 2014, 09:19
Betriebssystem: Win7 Home 64bit
Virenscanner: Avira Free Antivirus

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 17749 von IndyBaskets » Do 21. Mai 2015, 10:14

wenn mein Router selber gar keinen USB Anschluß hat, dann kann er auch nciht betroffen sein, oder? :denk:

Auf der Liste steh ich nämlich nicht, aber da das nen gebrandeter Router von meinem Anbieter ist, würde mich das nicht wundern. Ist allerdings auch schon etwas älter die Kiste.
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 17750 von harry » Do 21. Mai 2015, 10:44

@IndyBaskets:
Kann es sein, dass du hier zwei Meldungen verwechselst?
Ich nehme an, du meinst diese hier.
harry
 
Beiträge: 398
Registriert: Do 4. Sep 2014, 19:20
Betriebssystem: Win 7
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 17751 von IndyBaskets » Do 21. Mai 2015, 10:50

opps ;) ja die meinte ich. bin dann bei heise weitergegangen ;) soll ich dafür nen neuen thread aufmachen oder kann mir jemand die frage hier beantworten? :)
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 17752 von NoG » Do 21. Mai 2015, 11:53

Kurz und knapp - kein USB, kein Problem.
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 17753 von IndyBaskets » Do 21. Mai 2015, 12:21

hab ich mir gedacht ;) danke :)
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 17938 von NoG » So 24. Mai 2015, 12:46

Hier ein Workaround fuer die Logjam-Luecke fuer Firefox:

Gib in der Browserzeile about:config ein und bestaetige mit der Eingabetaste.
Gib in das Suchfeld dhe ein.
Stelle die Eintraege, die sich auf DHE-Verschluesselung beziehen, mit einem Doppelklick auf false um.

Bild

Diese Umkonfiguration kann allerdings dazu fuehren, dass zukuenftig eine verschluesselte Verbindung mit einzelnen Servern nicht mehr zustande kommt, wenn der Server keine alternativen Verschluesselungstechniken anbietet. Eine Kontrolle, ob Verbindungen verschluesselt werden, ist also unbedingt anzuraten :!:
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18332 von NoG » Mi 3. Jun 2015, 17:46

An dieser Stelle auch noch mal kurz der Hinweis, dass die Logjam-Luecke in der Firefox-Version 38.0.5 noch nicht geschlossen wurde.
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18391 von IndyBaskets » Fr 5. Jun 2015, 07:44

bevor ich den Workaround im Firefox mache, würde mich mal interessieren, wie hoch die Wahrscheinlichkeit ist, dass Anbieter wie Amazon, Web.de bzw. GMX, 1und1, etc., also die großen Firmen die Lücke Serverseitig bisher nicht geschlossen haben?

Ich weiß auzuschließen ist das nicht. Aber ich bin mir nicht sicher, ob ich mit dem Workaround nicht mehr Probleme schaffe... Und wie hoch ist die Wahrscheinlichkeit, dass ich selber Ziel werde? Weil wenn ich das richtig verstanden habe, muß ich ja gezielt jemand angreifen, oder?

Gibt es schon eine Aussicht wann Firefox die Lücke schließt?
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18396 von NoG » Fr 5. Jun 2015, 09:34

Gegenfrage: warum darauf hoffen, dass jemand anderes sich des Problems annimmt, wenn man es selbst loesen kann?

Gezielt ist relativ. Das hoert sich so nach "da sitzt einer vorm Rechner und hat's auf mich abgesehen" an. Aber so laeuft das nun mal nicht. Und bei automatischen Angriffen kann jeder Ziel werden.

Die Schliessung der Logjam-Luecke ist wohl fuer die Firefox-Version 39 vorgesehen.
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18398 von IndyBaskets » Fr 5. Jun 2015, 09:54

auf andere verlassen wegen dem hier:

Diese Umkonfiguration kann allerdings dazu fuehren, dass zukuenftig eine verschluesselte Verbindung mit einzelnen Servern nicht mehr zustande kommt, wenn der Server keine alternativen Verschluesselungstechniken anbietet. Eine Kontrolle, ob Verbindungen verschluesselt werden, ist also unbedingt anzuraten :!:


was bedeutet das für mich? Krieg ich da bei gmx, etc. eher Probleme oder eher nicht? Und was könnte maximal passieren? Einfach nur kein Login mehr möglich?
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18401 von NoG » Fr 5. Jun 2015, 10:21

Was - in der Theorie - passieren kann ist, dass der Server eben nur genau diese Verschluesselungsmethoden anbietet, die dann im Browser deaktiviert sind. Folge - keine Verschluesselung.
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18403 von IndyBaskets » Fr 5. Jun 2015, 10:22

Bedeutet also, dass ich mich z.b. dann bei gmx ganz ohne Verschlüsselung einloggen würde?

Das blöde ist ja, dass ich dort z.b. nicht von einer https Seite komme, also dann das erst nach dem Login merken würde. Ist das Risiko dadurch nicht noch viel größer?
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18404 von NoG » Fr 5. Jun 2015, 10:29

Himmel, die geben sich ja wirklich Muehe, bloss nicht zu viel zu verschluesseln!

Zum Testen: https://kontakt.gmx.net/

Normalerweise laesst sich eine Website, die Verschluesselung kann, auch manuell (per HTTPS://) verschluesselt aufrufen.
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18405 von IndyBaskets » Fr 5. Jun 2015, 10:35

ja der login bei gmx geht auch mit der Einstellung "false", bei meinen anderen Seiten auch. Mir ging es halt eher darum, dass ich es nicht so prickelnd finde, wenn ich erst nach dem Login merke, dass die Seite das nicht kann.

Aber ich hoffe ja, dass gmx und amazon auch alternative Verschlüsselungen können. Zur Zeit sieht das so aus. Einzig in dem Werbefenster, welches sich beim Login öffnet, kommt jetzt, wenn man sich über die https Seite einlogt, dass das Zertifikat nicht für die Seite der Werbung gilt und Firefox blockiert das. Ist jetzt aber nicht so schlimm ;)

P.S.: wenn Firefox das gefixt hat, schließen die dann den Zugriff oder deaktivieren die dhe dann auch einfach?
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18406 von NoG » Fr 5. Jun 2015, 11:06

Wie gesagt - ich sehe das Problem eher theoretisch. Mir ist noch keine Website untergekommen, die nicht auch sichere Verschluesselungen beherrscht.

Das das Problem ja von den Servern ausgeht sehe ich fuer Mozilla wenig Moeglichkeiten, das Problem anders als durch Deaktivierung von DHE zu loesen. Bestenfalls noch, indem DHE als allerletzte Verschluesselungsmethode akzeptiert wuerde, was aber dann faktisch auch auf das gleiche hinauslaeuft.
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18408 von IndyBaskets » Fr 5. Jun 2015, 11:22

ok dann lasse ich das erstmal deaktiviert. :) danke für die Infos.

was ich persönlich schlecht finde, dass wenn der Server nur die dhe Verschlüsselung anbietet und diese im Browser deaktiviert sind, ein Fallback auf keine Verschlüsselung erfolgt. Mir wäre es lieber, wenn dann ein Login gar nicht möglich wäre.
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18410 von IndyBaskets » Fr 5. Jun 2015, 11:37

sorry kann in den anderen Beitrag nicht mehr schreiben. Zu der Frage oben, noch eine andere Frage das Forum betreffend. Wieso gibt es hier eigentlich kein https?

Ist keine Kritik, nur eine Frage :)
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18417 von NoG » Fr 5. Jun 2015, 14:20

Weil das die derzeitige Konstruktion (Webhosting) nicht hergibt.
We have bugs the likes of which even God has never seen!
NoG
Moderator
 
Beiträge: 6926
Registriert: So 24. Aug 2014, 14:02
Wohnort: Pinneberg
Betriebssystem: Windows 8.1
Virenscanner: GData

Re: Neue Sicherheitslücke namens Logjam entdeckt

BeitragBeitragsNr: 18420 von IndyBaskets » Fr 5. Jun 2015, 14:27

danke :)

und gleichzeitig schon mal einen schönen, heißen Restfreitag :)
IndyBaskets
 
Beiträge: 888
Registriert: Mo 23. Mär 2015, 08:35
Betriebssystem: Windows 8.1
Virenscanner: Avira Free

Nächste

Zurück zu Nachrichten und Hinweise

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste