Neue Sicherheitslücke namens Logjam entdeckt

Aktuelles rund um das Thema IT-Sicherheit
Benutzeravatar
Lumi
Beiträge: 986
Registriert: Mo 15. Sep 2014, 10:19
Betriebssystem: Win7 Home 64bit
Virenscanner: Avira Free Antivirus

Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Lumi »

Forscher haben erneut eine Sicherheitslücke entdeckt, die es Angreifern ermöglichen soll Verschlüsselungen aufzubrechen und Daten abzugreifen. Von Logjam sollen unter anderem unzählige Websiten, Mailserver, die auf POP3 und IMAP setzen, und auch fast alle Browser betroffen sein. Ausnahme bildet wohl der Internet Explorer, bei dem die Sicherheitslücke laut Aussage von Microsoft schon beim letzten Patchday geschlossen worden sein soll. Für die Browser Firefox, Chrome und Safari wird wohl schon an Patches gearbeitet.

Quelle: Heise Logjam-Attacke
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

wenn mein Router selber gar keinen USB Anschluß hat, dann kann er auch nciht betroffen sein, oder? :denk:

Auf der Liste steh ich nämlich nicht, aber da das nen gebrandeter Router von meinem Anbieter ist, würde mich das nicht wundern. Ist allerdings auch schon etwas älter die Kiste.
harry
Beiträge: 398
Registriert: Do 4. Sep 2014, 20:20
Betriebssystem: Win 7
Virenscanner: Avira Free

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von harry »

@IndyBaskets:
Kann es sein, dass du hier zwei Meldungen verwechselst?
Ich nehme an, du meinst diese hier.
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

opps ;) ja die meinte ich. bin dann bei heise weitergegangen ;) soll ich dafür nen neuen thread aufmachen oder kann mir jemand die frage hier beantworten? :)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

Kurz und knapp - kein USB, kein Problem.
We have bugs the likes of which even God has never seen!
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

hab ich mir gedacht ;) danke :)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

Hier ein Workaround fuer die Logjam-Luecke fuer Firefox:

Gib in der Browserzeile about:config ein und bestaetige mit der Eingabetaste.
Gib in das Suchfeld dhe ein.
Stelle die Eintraege, die sich auf DHE-Verschluesselung beziehen, mit einem Doppelklick auf false um.

http://www.pc-notfallklinik.de/pix/logjam.PNG

Diese Umkonfiguration kann allerdings dazu fuehren, dass zukuenftig eine verschluesselte Verbindung mit einzelnen Servern nicht mehr zustande kommt, wenn der Server keine alternativen Verschluesselungstechniken anbietet. Eine Kontrolle, ob Verbindungen verschluesselt werden, ist also unbedingt anzuraten :!:
We have bugs the likes of which even God has never seen!
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

An dieser Stelle auch noch mal kurz der Hinweis, dass die Logjam-Luecke in der Firefox-Version 38.0.5 noch nicht geschlossen wurde.
We have bugs the likes of which even God has never seen!
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

bevor ich den Workaround im Firefox mache, würde mich mal interessieren, wie hoch die Wahrscheinlichkeit ist, dass Anbieter wie Amazon, Web.de bzw. GMX, 1und1, etc., also die großen Firmen die Lücke Serverseitig bisher nicht geschlossen haben?

Ich weiß auzuschließen ist das nicht. Aber ich bin mir nicht sicher, ob ich mit dem Workaround nicht mehr Probleme schaffe... Und wie hoch ist die Wahrscheinlichkeit, dass ich selber Ziel werde? Weil wenn ich das richtig verstanden habe, muß ich ja gezielt jemand angreifen, oder?

Gibt es schon eine Aussicht wann Firefox die Lücke schließt?
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

Gegenfrage: warum darauf hoffen, dass jemand anderes sich des Problems annimmt, wenn man es selbst loesen kann?

Gezielt ist relativ. Das hoert sich so nach "da sitzt einer vorm Rechner und hat's auf mich abgesehen" an. Aber so laeuft das nun mal nicht. Und bei automatischen Angriffen kann jeder Ziel werden.

Die Schliessung der Logjam-Luecke ist wohl fuer die Firefox-Version 39 vorgesehen.
We have bugs the likes of which even God has never seen!
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

auf andere verlassen wegen dem hier:
Diese Umkonfiguration kann allerdings dazu fuehren, dass zukuenftig eine verschluesselte Verbindung mit einzelnen Servern nicht mehr zustande kommt, wenn der Server keine alternativen Verschluesselungstechniken anbietet. Eine Kontrolle, ob Verbindungen verschluesselt werden, ist also unbedingt anzuraten :!:
was bedeutet das für mich? Krieg ich da bei gmx, etc. eher Probleme oder eher nicht? Und was könnte maximal passieren? Einfach nur kein Login mehr möglich?
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

Was - in der Theorie - passieren kann ist, dass der Server eben nur genau diese Verschluesselungsmethoden anbietet, die dann im Browser deaktiviert sind. Folge - keine Verschluesselung.
We have bugs the likes of which even God has never seen!
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

Bedeutet also, dass ich mich z.b. dann bei gmx ganz ohne Verschlüsselung einloggen würde?

Das blöde ist ja, dass ich dort z.b. nicht von einer https Seite komme, also dann das erst nach dem Login merken würde. Ist das Risiko dadurch nicht noch viel größer?
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

Himmel, die geben sich ja wirklich Muehe, bloss nicht zu viel zu verschluesseln!

Zum Testen: https://kontakt.gmx.net/

Normalerweise laesst sich eine Website, die Verschluesselung kann, auch manuell (per HTTPS://) verschluesselt aufrufen.
We have bugs the likes of which even God has never seen!
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

ja der login bei gmx geht auch mit der Einstellung "false", bei meinen anderen Seiten auch. Mir ging es halt eher darum, dass ich es nicht so prickelnd finde, wenn ich erst nach dem Login merke, dass die Seite das nicht kann.

Aber ich hoffe ja, dass gmx und amazon auch alternative Verschlüsselungen können. Zur Zeit sieht das so aus. Einzig in dem Werbefenster, welches sich beim Login öffnet, kommt jetzt, wenn man sich über die https Seite einlogt, dass das Zertifikat nicht für die Seite der Werbung gilt und Firefox blockiert das. Ist jetzt aber nicht so schlimm ;)

P.S.: wenn Firefox das gefixt hat, schließen die dann den Zugriff oder deaktivieren die dhe dann auch einfach?
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

Wie gesagt - ich sehe das Problem eher theoretisch. Mir ist noch keine Website untergekommen, die nicht auch sichere Verschluesselungen beherrscht.

Das das Problem ja von den Servern ausgeht sehe ich fuer Mozilla wenig Moeglichkeiten, das Problem anders als durch Deaktivierung von DHE zu loesen. Bestenfalls noch, indem DHE als allerletzte Verschluesselungsmethode akzeptiert wuerde, was aber dann faktisch auch auf das gleiche hinauslaeuft.
We have bugs the likes of which even God has never seen!
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

ok dann lasse ich das erstmal deaktiviert. :) danke für die Infos.

was ich persönlich schlecht finde, dass wenn der Server nur die dhe Verschlüsselung anbietet und diese im Browser deaktiviert sind, ein Fallback auf keine Verschlüsselung erfolgt. Mir wäre es lieber, wenn dann ein Login gar nicht möglich wäre.
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

sorry kann in den anderen Beitrag nicht mehr schreiben. Zu der Frage oben, noch eine andere Frage das Forum betreffend. Wieso gibt es hier eigentlich kein https?

Ist keine Kritik, nur eine Frage :)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von NoG »

Weil das die derzeitige Konstruktion (Webhosting) nicht hergibt.
We have bugs the likes of which even God has never seen!
Konto 393 gelöscht

Re: Neue Sicherheitslücke namens Logjam entdeckt

Beitrag von Konto 393 gelöscht »

danke :)

und gleichzeitig schon mal einen schönen, heißen Restfreitag :)
Antworten