heartbleed-Lücke in SSL - der GAU ist da

  • 125 Antworten
  • Letztes Antwortdatum
Auf xda gibt es zu Rudolfs Heartbleed Hack ein flashable.ZIP zum Download. Die MD5 weicht von der von Koriolis genannten ab. Funktioniert diese Version auch? Hat das ein DEV schon ausprobiert?

Wäre es möglich die korrekte libssl.so direkt zum Download bzw. per E-Mail zur Verfügung zu stellen? Das Downloadtool ist mir einfach zu supekt...

Benötigt man zum kopieren/umbenennen zwingend root Rechte?
 
Der Titel ist irreführend: Heartbleed ist kein genereller Fehler in SSL, sondern nur in dieser OpenSSL-Implementierung.
 
Hey.
Habe mich noch nicht mit dem Thema beschäftigt aber irgendwie sind alle Versionen betroffen oder? Mein Asus MeMO Pad HD7 hat Android 4.2.2 und dort ist alles OK. Mein Huawei Ascend G510 mit Android 4.4.2 KitKat zeigt auch OK an. Doch der erste Punkt ist orange. Das Huawei ist das mit den weißen Statusleisten Symbolen.
4y9ageje.jpg
 

Anhänge

  • uploadfromtaptalk1397485160321.jpg
    uploadfromtaptalk1397485160321.jpg
    2,8 KB · Aufrufe: 259
BigLeo schrieb:
Hey.
Habe mich noch nicht mit dem Thema beschäftigt aber irgendwie sind alle Versionen betroffen oder? Mein Asus MeMO Pad HD7 hat Android 4.2.2 und dort ist alles OK. Mein Huawei Ascend G510 mit Android 4.4.2 KitKat zeigt auch OK an. Doch der erste Punkt ist orange. Das Huawei ist das mit den weißen Statusleisten Symbolen.
Das Orange ist nicht schlimm, die OpenSSL Version wurde ohne Heartbeats kompiliert (ab 4.1.2).
 
4ndrof4n schrieb:
Auf xda gibt es zu Rudolfs Heartbleed Hack ein flashable.ZIP zum Download. Die MD5 weicht von der von Koriolis genannten ab. Funktioniert diese Version auch? Hat das ein DEV schon ausprobiert?

Wäre es möglich die korrekte libssl.so direkt zum Download bzw. per E-Mail zur Verfügung zu stellen? Das Downloadtool ist mir einfach zu supekt...

Benötigt man zum kopieren/umbenennen zwingend root Rechte?

Das kommt auch von diesem Forum:
https://www.android-hilfe.de/forum/surftab-ventos-10-1.933/patch-heartbleed-bug-beheben.557432.html
Xorg hat sich das für sein Tablet gemacht. Übrigends eine tolle Leistung für einen 14-ährigen!
Die libssl.so die er genommen hat kann genauso gut helfen wie die die ich genommen hab. Beide stammen halt aus verschiedenen Quellen. Man kann beide probieren.

Das zip ist aber nicht signiert, somit wird kaum ein original recovery das einspielen. Ausserdem erwartet die Routine die system patrition an bestimmter Stelle, bei meinem 997d liegt die anders und das .zip würde bei mir nicht funktionieren.

Zum per Hand einspielen bruchst Du entweder root oder eine recovery mit einem Filemanager wie z.B. TWRP. Wie das geht hab ich auch in Xorgs thread geschrieben.

Ich weiss nicht von welchem Downloadtool Du sprichst, mein link zeigt auf eine xda Seite und der dortige link auf einen file hoster, wo Du das Rom/Zip mit der libssl direkt runterlädst. Du klickst auf der xda-seite auf das "Download here" unter dem "Download Link Version 3.1". Ich hab kein Downloadtool gesehen.

Der ursprüngliche Beitrag von 17:37 Uhr wurde um 17:42 Uhr ergänzt:

BigLeo schrieb:
Hey.
Habe mich noch nicht mit dem Thema beschäftigt aber irgendwie sind alle Versionen betroffen oder?

In vielen Versionen ist der Programmcode zwar enthalten, aber nicht aktiviert. Das ist so als würde ein Virus auf einer Diskette in deiner Schublade liegen. Du hast ihn, aber er kann nichts tun.

Nur in 4.1.1 (und 4.1) wurde er aktiviert und konnte somit Ärger machen.
 
Zuletzt bearbeitet:
Wäre so eine kritische Sicherheitslücke nicht ein Grund zur Rückgabe? Wenn Huawei das beim Y300 bis jetzt nicht gefixt hat, werden sie es sicherlich auch nicht später fixen. O2 haftet vielleicht nicht für Schäden durch fehlerhafte Software, aber sie sind doch zur Rücknahme von Geräten verpflichtet, die fehlerhafte Software drauf haben?
 
Ich habe mal die libssl.so von Xorg bei mir ins 997d reinkopiert, bei mir funktioniert die auch.
 
rudolf schrieb:
Das kommt auch von diesem Forum:
https://www.android-hilfe.de/forum/surftab-ventos-10-1.933/patch-heartbleed-bug-beheben.557432.html
Xorg hat sich das für sein Tablet gemacht. Übrigends eine tolle Leistung für einen 14-ährigen!
Die libssl.so die er genommen hat kann genauso gut helfen wie die die ich genommen hab. Beide stammen halt aus verschiedenen Quellen. Man kann beide probieren.

Vielen Dank Rudolf, habe das Y300 unlocked, gerooted und die libssl.so ausgetauscht. War ein bisschen Aufwand, um zuvor alles zu sichern und wieder einzurichten. Aber es hat sich gelohnt. Und wenn CM11 stable rauskommt, ist alles vorbereitet...
 
Danke rudolf und perpe, dank euch war das Problem in wenigen Minuten behoben und sind die Apps gescannt.
Hier wird mir nur tagesschau genannt, aber die Meldung dazu ist etwas schwammig: Ich möge den Hersteller kontaktieren, um mehr zu erfahren.

Der Firefox-Empfehlung kann ich mich allerdings nicht anschließen. Ich halte den für weit gefährlicher als den SSL-Bug in einem Browser. Ich finde dort keine Möglichkeit, JS abzuschalten und bin, nachdem ich den vor kurzem installiert hatte, immer wieder auf Phishing-seiten umgeleitet worden! Das geht gar nicht! Ist mir nur mit FF mehrmals bei einer Google-Suche passiert. Nicht mit Chrome, nicht mit dem eingebautem Browser. Davon abgesehen, sind Bedienung und Performance des Android-FF auch nicht gerade eine Freude und Addons wie das dringend notwendige Noscipt funktionierten auch nicht.
 
Zuletzt bearbeitet:
m1r0 schrieb:
Wäre so eine kritische Sicherheitslücke nicht ein Grund zur Rückgabe? Wenn Huawei das beim Y300 bis jetzt nicht gefixt hat, werden sie es sicherlich auch nicht später fixen. O2 haftet vielleicht nicht für Schäden durch fehlerhafte Software, aber sie sind doch zur Rücknahme von Geräten verpflichtet, die fehlerhafte Software drauf haben?

Antwort von Huawei auf meine Anfrage :vielen Dank für Ihre Anfrage.

Vielen Dank für Ihre Anfrage bezüglich der Sicherheitslücke "Heartbleed". Derzeit untersuchen wir, inwieweit unser [Y300/G510/P1] von dieser Sicherheitslücke betroffen ist. Sobald wir hierzu neue Informationen haben, melden wir uns per E-Mail bei Ihnen.
Wir bitten um Verständnis, dass wir Ihnen eine sofortige Lösung nicht anbieten können und bitten um ein wenig Geduld.

Mit besten Grüßen

Ihr Huawei Technik Team

---
 
BigLeo schrieb:
Hey.
Habe mich noch nicht mit dem Thema beschäftigt aber irgendwie sind alle Versionen betroffen oder? Mein Asus MeMO Pad HD7 hat Android 4.2.2 und dort ist alles OK. Mein Huawei Ascend G510 mit Android 4.4.2 KitKat zeigt auch OK an. Doch der erste Punkt ist orange. Das Huawei ist das mit den weißen Statusleisten Symbolen.
4y9ageje.jpg

Ich habe die gleiche Meldung, ich habe Android 4.2.2! Das heißt alles ist OK? Weshalb bringt Google kein neues Sicherheitsupdate raus, damit alle wieder 100% grün wird?
 
Weil es vollkommen egal ist ob der oberste Punkt grün ist oder nicht.

cu
 
Wenn das Tool extra schon die Meldung "Alles ist in Ordnung!" ausspuckt ...
Was sollen die denn noch schreiben, damit man es versteht?

Iconiatablette schrieb:
Antwort von Huawei ... Derzeit untersuchen wir, inwieweit unser [Y300/G510/P1] von dieser Sicherheitslücke betroffen ist.
---

Das sind echte Scherzkekse. Wie lange brauchen die wohl, um zu prüfen, ob da Android 4.1.1 drauf ist, oder um eine App zu starten? :)
Während man hier im Forum längst den Fix hat.
 
Zuletzt bearbeitet:
Ok, ich beziehe mich auf diese Meldung von STERN und dort gibt es eine Testseite wie folgt:
https://www.cloudflarechallenge.com/heartbleed

Kommt es eine Fehlermeldung, ist alles ok, der PC ist sicher, zumindest bei mir Zuhause am PC ist es der Fall!

Aber auf meinem Android 4.2.2. ist es nicht der Fall, es kommt folgende Meldung:
Heartbleed_Test1.jpg
Demnach ist es doch nicht 100% einwandfrei!
 
Iconiatablette schrieb:
Antwort von Huawei auf meine Anfrage :vielen Dank für Ihre Anfrage.

Vielen Dank für Ihre Anfrage bezüglich der Sicherheitslücke "Heartbleed". Derzeit untersuchen wir, inwieweit unser [Y300/G510/P1] von dieser Sicherheitslücke betroffen ist. Sobald wir hierzu neue Informationen haben, melden wir uns per E-Mail bei Ihnen.
Wir bitten um Verständnis, dass wir Ihnen eine sofortige Lösung nicht anbieten können und bitten um ein wenig Geduld.

Mit besten Grüßen

Ihr Huawei Technik Team

---

Sorry aber was gibt es da groß zu untersuchen? Die Sicherheitslücke ist bekannt und mit der App kann man einsehen das diese Telefone betroffen sind. Aus Garantiegründen habe ich nicht vor patches von Drittanbietern zu nutzen. Für mich geht es im Moment darum, ob das Telefon als defekt zurück geht und ich einen Bogen um Huawei mache, wenn es um den Ersatz geht, oder aber einen offiziellen Patch bespiele.
 
Mich würde mal die Stellungnahme von O2 interessieren, hat da schon jemand nachgefragt? O2 ist ja der offizielle Vertriebspartner in Deutschland. Wie siehts bei denen mit Gewährleistung/Garantie aus?
Und mittlerweile bekommt man für wenig mehr Geld Geräte mit aktuellerem android, wo die Sicherheitslücke nicht vorhanden ist.
 
Mein Gott die Sicherheits Lücke ist seit 1ner Woche bekannt! Versucht doch mal selber ein Update in weniger als einer Woche zu machen!
 
BigLeo schrieb:
Mein Gott die Sicherheits Lücke ist seit 1ner Woche bekannt! Versucht doch mal selber ein Update in weniger als einer Woche zu machen!

Oben im Thread steht doch, dass das einer aus diesem Forum gemacht hat. Alleine! Wenn eine ganze Firma das bis jetzt nicht schafft, ist das mehr als merkwürdig. Debian und andere Distros haben nur Stunden fürs Update gebraucht.

Der ursprüngliche Beitrag von 15:57 Uhr wurde um 16:02 Uhr ergänzt:

O2 hat mir gerade per Chat mitgeteilt, dass ein Update von Google geplant ist (nichts neues für mich) und angeblich von Huawei auch per OTA ausgeliefert wird. Wann die das machen, konnte mir der Mitarbeiter leider nicht sagen.
 
Wuffimaus schrieb:
Ok, ich beziehe mich auf diese Meldung von STERN und dort gibt es eine Testseite wie folgt:
https://www.cloudflarechallenge.com/heartbleed

...
Aber auf meinem Android 4.2.2. ist es nicht der Fall, es kommt folgende Meldung:
Demnach ist es doch nicht 100% einwandfrei!

Hast du mal gelesen, was auf der Seite steht? Da geht es ausschließlich darum, ob der Browser zurückgezogene Zertifikate prüft! Wende ich also an den Hersteller deines Browsers, wenn er keine Warnmeldung ausgibt, oder folge der Anleitung, um ihn richtig zu konfigurieren!
Mit unserem Problem hat das softwaretechnisch gar nichts zu tun!

m1r0 schrieb:
und angeblich von Huawei auch per OTA ausgeliefert wird. Wann die das machen, konnte mir der Mitarbeiter leider nicht sagen.

Das ist ok, AFAIR müssen die normalerweise ziemlich viele Prüfungen machen, bevor sie ein neues Update ausliefern. Ok, bei diesem Fix erscheint es unwahrscheinlich bis unmöglich, dass sich auf Funknetzebene etwas dadurch ändert, aber vielleicht müssen sie trotzdem gründlich prüfen und zertifizieren.
Was ich aber richtig blöd fand, war die Antwort, man prüfe noch, ob man betroffen sei. Das sollte denen doch vor Tagen klar geworden sein.
Und aus der Antwort von O2 geht auch hervor, dass das eine glatte Lüge war!
 
Zuletzt bearbeitet:
Eieiei schrieb:
Hast du mal gelesen, was auf der Seite steht? Da geht es ausschließlich darum, ob der Browser zurückgezogene Zertifikate prüft! Wende ich also an den Hersteller deines Browsers, wenn er keine Warnmeldung ausgibt, oder folge der Anleitung, um ihn richtig zu konfigurieren!
Mit unserem Problem hat das softwaretechnisch gar nichts zu tun!

Ich nutze Chrome auf meinem Android-Smartphone, noch Fragen?
Wo ist die Anleitung?
 

Ähnliche Themen

I
Antworten
2
Aufrufe
1.210
icke68746
I
J
Antworten
0
Aufrufe
571
Juleru
J
Zurück
Oben Unten