Forum.freifunk.net und CVE-2016-2107

jannic · 23. September 2016 um 14:34

Moin!

Ich hatte eben Probleme, mich mit forum.freifunk.net zu verbinden. Anscheinend antwortete der OCSP-Server nicht, und ich habe hier OCSP als mandatorisch konfiguriert.

Um sicher zu stellen, dass es kein lokales Problem bei mir ist, habe ich mal den SSL-Test von SSL Server Test (Powered by Qualys SSL Labs) drüber laufen lassen, der mich auch bestätigt hat: OCSP ERROR: Exception: Read timed out [http://ocsp6.wosign.com/ca6/server1/free].

Soweit, so schlecht, aber das betrifft wohl in der Praxis nur die wenigsten. Viel schlimmer finde ich, dass ich in den Ergebnissen des SSL-Tests auch noch folgendes finden musste:
OpenSSL Padding Oracle vuln. (CVE-2016-2107) Yes INSECURE

Läuft das Forum wirklich auf einem Server, auf dem Sicherheitspatches von Anfang Mai noch nicht eingespielt sind?

Grüße,
Jan

adorfer · 3. November 2016 um 00:57

Es läuft auch noch mit WoSign-Zertifikaten.
Von daher ist sowieso dringender Handlungsbedarf.

Dago · 9. November 2016 um 08:27

mich ärgert, dass ich da am Sonntag mit keiner Silbe gedran gedacht habe…

(ich finde es aber auch merkwürdig bis vielleicht bezeichnend, dass das nicht per se auf der Liste stand)

nitimax · 4. Dezember 2016 um 12:54

Hallo,

Scheinbar ist hier leider noch nichts passiert. Ich hatte irgendwann mal eine Nachricht über das Kontaktformular geschrieben, aber egal.
Besonders kritisch und dringend finde ich diese zwei Sachen:
Golem.de: IT-News für Profis und
Auch Google vertraut StartCom- und WoSign-Zertifikaten nicht mehr | heise online

1.

Zertifikate, die vor dem 21. Oktober 2016 ausgestellt wurden, kann Chrome noch für eine gewisse Zeit vertrauen (heise)

und 2.

solange diese Googles Certificate-Transparency-Richtlinie erfüllen. (heise)

Wo kann man 2. herausfinden? Mein Internetbrowser sagt zumindest „Es liegt kein öffnentlicher Eintrag vor.“

Soweit ich gesehen habe läuft noch (fast) alles über WoSign/Startcom-Zertifikate, das nicht von Communities direkt gemacht wird, z.B. die Startseite freifunk.net, das Forum, der Bugtracker, lists.freifunk.net, pad.freifunk.net, api.freifunk.net.

Die einzige Ausnahme dazu sehe ich in blog.freifunk.net. Das läuft mit einem Let’s Encrypt Zertifikat.

Es würde mich sehr freuen, wenn die Admins da einen Teil ihrer Freizeit drauf verwenden könnten, da die Artikel das Misstrauen zum Jahresende ankündigen.

Vielen Dank für euer Engagement und viele Grüße.

Nitimax

adorfer · 5. August 2017 um 06:04

Hier als Rückmeldung: Das ist jetzt gefixt.
(Zum Zeitverzug fällt mir leider/zum Glück keine Entschuldigung ein.)