2009 habe ich bereits einen kurzen Eintrag geschrieben, wie man ein Backup mittels rsync über ssh durchführt. Heute war es notwendig, ein Backup als Archiv über SSH durchzuführen. In so einem Fall macht es Sinn, einige Ordner vom Backup auszuschließen. tar cvzf – –exclude='/dev/*' –exclude='/proc/*' –exclude='/sys/*' –exclude='/tmp/*' –exclude='/run/*' –exclude='/mnt/*' –exclude='/media/*'…
Wie gestern unter PresseBox.de veröffentlicht wurde, bietet der E-Mail Anbieter mail.de jetzt die Möglichkeit, PGP Schlüssel über den Standard OpenPGPKey per DNS zu veröffentlichen. Hierzu wurde von der IETF ein eigener Standard veröffentlicht obwohl es mit PKA bereits eine Option hierzu gab. Das neue Verfahren sieht vor, dass der Besitzer einer…
Wie heute auf Golem.de mitgeteilt wurde, hat ein Team des französischen Forschungsinstituts im Rahmen des Projektes Smack Inira bei der Untersuchung von TLS Implementierungen zwei neue Sicherheitslücken gefunden. Verwundbare Systeme wie z.B. Apple-Systeme akzeptieren einen schwachen temporären 512-Bit RSA Schlüssel. Theoretisch ist das Risiko für so einen Angriff gering, da…
In letzter Zeit hat sich im Bereich der SSL Sicherheit viel getan. Es sind immer wieder neue Sicherheitslücken aufgetaucht, wie z.B: die Poodle Lücke. Debian gilt seit je her als stables, aber leider auch immer etwas angestaubtes Betriebssystem. Letzteres von beidem bekommt man gerade in letzter Zeit immer wieder zu spüren. Viele neue Funktionen oder Schutzmechanismen sind in Debian 7 (stable) einfach nicht mehr enthalten. Aus diesem Grund möchte nachfolgend einmal beschreiben, wie man sich selber ein openssl Paket bauen kann, um die ein oder andere Sicherheitslücke (TLS_FALLBACK_SCSV, bzw. CRIME) schließen zu können.
OpenSSL kompilieren
Um alle Pekete für openssl zu bauen, werden zuerst einige weitere Pakete sowie die abhängigen Pakete zu openssl benötigt.
cd /usr/src apt-get install build-essential fakeroot apt-get build-dep openssl
Anschließend läd man sich die letzte Version von OpenSSL herunter, für welche es eine .dsc, .tar.gz sowie .tar.xz-Date gibt. Welche Version das ist, findet man über http://ftp.de.debian.org/debian/pool/main/o/openssl/ heraus.
wget http://ftp.de.debian.org/debian/pool/main/o/openssl/openssl_1.0.1j-1.dsc wget http://ftp.de.debian.org/debian/pool/main/o/openssl/openssl_1.0.1j.orig.tar.gz wget http://ftp.de.debian.org/debian/pool/main/o/openssl/openssl_1.0.1j.debian.tar.xz
Die oben genannte CRIME Attacke lässt sich nur durch das deaktivieren der SSL Kompression deaktivieren. Da diese jedoch erst ab Apache 2.2.24+ über die Konfiguration deaktiviert werden kann, muss sie für alle Vorgängerversionen beim kompilieren von openssl deaktiviert werden.