Forum.freifunk.net und CVE-2016-2107

Moin!

Ich hatte eben Probleme, mich mit forum.freifunk.net zu verbinden. Anscheinend antwortete der OCSP-Server nicht, und ich habe hier OCSP als mandatorisch konfiguriert.

Um sicher zu stellen, dass es kein lokales Problem bei mir ist, habe ich mal den SSL-Test von SSL Server Test (Powered by Qualys SSL Labs) drüber laufen lassen, der mich auch bestätigt hat: OCSP ERROR: Exception: Read timed out [http://ocsp6.wosign.com/ca6/server1/free].

Soweit, so schlecht, aber das betrifft wohl in der Praxis nur die wenigsten. Viel schlimmer finde ich, dass ich in den Ergebnissen des SSL-Tests auch noch folgendes finden musste:
OpenSSL Padding Oracle vuln. (CVE-2016-2107) Yes INSECURE

Läuft das Forum wirklich auf einem Server, auf dem Sicherheitspatches von Anfang Mai noch nicht eingespielt sind?

Grüße,
Jan

6 Likes

Es läuft auch noch mit WoSign-Zertifikaten.
Von daher ist sowieso dringender Handlungsbedarf.

1 Like

mich ärgert, dass ich da am Sonntag mit keiner Silbe gedran gedacht habe…

(ich finde es aber auch merkwürdig bis vielleicht bezeichnend, dass das nicht per se auf der Liste stand)

1 Like

Hallo,

Scheinbar ist hier leider noch nichts passiert. Ich hatte irgendwann mal eine Nachricht über das Kontaktformular geschrieben, aber egal.
Besonders kritisch und dringend finde ich diese zwei Sachen:
http://www.golem.de/news/zertifikate-auch-google-wirft-wosign-und-startcom-raus-1611-124162.html und
Auch Google vertraut StartCom- und WoSign-Zertifikaten nicht mehr | heise online

1.

Zertifikate, die vor dem 21. Oktober 2016 ausgestellt wurden, kann Chrome noch für eine gewisse Zeit vertrauen (heise)

und 2.
solange diese Googles Certificate-Transparency-Richtlinie erfüllen. (heise)

Wo kann man 2. herausfinden? Mein Internetbrowser sagt zumindest „Es liegt kein öffnentlicher Eintrag vor.“

Soweit ich gesehen habe läuft noch (fast) alles über WoSign/Startcom-Zertifikate, das nicht von Communities direkt gemacht wird, z.B. die Startseite freifunk.net, das Forum, der Bugtracker, lists.freifunk.net, pad.freifunk.net, api.freifunk.net.

Die einzige Ausnahme dazu sehe ich in blog.freifunk.net. Das läuft mit einem Let’s Encrypt Zertifikat.

Es würde mich sehr freuen, wenn die Admins da einen Teil ihrer Freizeit drauf verwenden könnten, da die Artikel das Misstrauen zum Jahresende ankündigen.

Vielen Dank für euer Engagement und viele Grüße.

Nitimax

5 Likes

Hier als Rückmeldung: Das ist jetzt gefixt.
(Zum Zeitverzug fällt mir leider/zum Glück keine Entschuldigung ein.)

2 Likes