[HREF-tech] OpenSSL sebezhetőség
Váradi Zsuzsanna
varadi.zsuzsanna at rh.uni-obuda.hu
2014. Ápr. 10., Cs, 10:23:40 CEST
Kedves Kristof,
Koszonom a valaszt, meg egy kerdesem lenne a level vegen.
On 2014.04.10. 10:06, Kristof Bajnok wrote:
> Szia Zsuzsa!
>
> On 2014-04-10 09:51, Váradi Zsuzsanna wrote:
>> Nekunk szerencsere az azonositast vegzo szervereink nem erintettek,
>> viszont 1-2 SP-nket igen.
>>
>> Tudom, hulye kerdes, de inkabb megkerdezem..
>>
>> Az SP-ken a frissitesen kivul csereljuk le a tanusitvanyokat is?
>> Pontosabban, ebben az esetben ugye eleg csak az SP-ken lecserelni a
>> tanusitvanyokat?
>
> A válasz attól függ, milyen SP-t, hogyan használtok.
>
>>>
>>> 2. Shibboleth SP
>>> ----------------
>>>
>>> A Windows platformon futó Shibboleth SP sérülékeny OpenSSL-t használ,
>>> ezt rövid időn belül frissíteni kell.
>>>
>>> Egyéb platformokon elsősorban a webszerver tanúsítványa
>>> kompromittálódhatott. Fennáll az esélye annak, hogy a föderációs
>>> kulccsal is visszaélhettek, de ehhez előtte egy föderációs IdP
>>> végpontját is meg kellett tudniuk személyesíteni. Ez a fentiek alapján
>>> korántsem lehetetlen (hiszen a privát kulcs ellopható volt!), ezért
>>> indokolt lehet az SP-k föderációs kulcsainak cseréje is.
>>>
> [...]
>>>
>>> 4. SimpleSAMLphp SP
>>> -------------------
>>>
>>> Amennyiben a PHP a webszerveren belül fut (mod_php), akkor
>>> kompromittálódott:
>>> - föderációs kulcs
>>> - külső (nyilvános) tanúsítvány és a hozzá tartozó titkos kulcs
>>>
>>> Ha a PHP CGI módban fut (fastcgi, stb), akkor a PHP alkalmazás nem, csak
>>> a webszerver.
>
> Az SP-k esetén én csak abban az esetben ragaszkodom a *föderációs kulcs*
> cseréjéhez (bár ellenőrizni persze nem tudom), ha az
> - Shibboleth SP Windowson,
> - SimpleSAMLphp SP mod_php-vel.
Ezt meg ellenoriztetem, addig is megkerdezem:
Az SP-ink nincsenek foderacioban, csak sajat hasznalatban. Akkor is kell
a *foderacis kulcs* csere?
>
> Az érintett gépeken a felhasználók felé néző tanúsítványt és kulcsot is
> cserélni kell (a tanúsítvány vissza kell vonni), de ez a föderáció
> szempontjából out-of-scope.
>
> Kristóf
>
> Ui.: légyszi a href-tech-et tartsátok meg, ha válaszoltok, mert mások
> számára is érdekes lehet a levelezés.
>
Rendben es koszonom, valoszinu sima Reply-t nyomtam es nem ellenoriztem..
Udv: Zsuzsa
További információk a(z) HREF-tech levelezőlistáról