End-of-Shift report
Timeframe: Freitag 11-04-2014 18:00 − Montag 14-04-2014 18:00
Handler: Alexander Riepl
Co-Handler: Stephan Richter
Heartbleed FAQ
Heartbleed FAQ11. April 2014Wir haben jetzt auch unsere Version einer FAQ zur "Heartbleed" veröffentlicht.Dieses Dokument ist kein finaler Bericht, sondern eine Bestandsaufnahme, die mit neuen Daten aktualisiert werden wird. So sind wir etwa dabei, den Status in Österreich noch genauer zu vermessen. Autor: Otmar Lendl
http://www.cert.at/services/blog/20140411232912-1127.html
Heartbleed: Keys auslesen ist einfacher als gedacht
Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist. (Server, OpenSSL)
http://www.golem.de/news/heartbleed-keys-auslesen-ist-einfacher-als-gedacht-1404-105825-rss.html
NSA will nichts von "Heartbleed"-Lücke gewusst haben
In einem Bericht hatte die Nachrichtenagentur Bloomberg behauptet, die OpenSSL-Lücke sei der NSA seit zwei Jahren bekannt gewesen. Die US-Behörden wiesen das jedoch rasch zurück.
http://www.heise.de/security/meldung/NSA-will-nichts-von-Heartbleed-Luecke-gewusst-haben-2169173.html
Heartbleed zeigt: Google muss Android-Updates in den Griff bekommen
Nur eine fast zwei Jahre alte Version betroffen, aber viele Millionen Geräte gefährdet - Updates unwahrscheinlich
http://derstandard.at/1397301984464
"Heartbleed": Noch immer tausende österreichische Webseiten betroffen
Sicherheitslücke findet sich auf Webservern öffentlicher Einrichtungen - Schulen und Gemeinden betroffen
http://derstandard.at/1397302008116
Identitätsdiebstahl: 7.500 Domain-Betreiber in Österreich betroffen
Das Bundeskriminalamt informiert nun alle Betreiber betroffener Domains
http://derstandard.at/1397302034346
OpenSSL use-after-free race condition read buffer
Topic: OpenSSL use-after-free race condition read buffer Risk: High Text:About two days ago, I was poking around with OpenSSL to find a way to mitigate Heartbleed. I soon discovered that in its defaul...
http://cxsecurity.com/issue/WLB-2014040079
Citrix VDI-in-a-Box Discloses Administrator Password to Local Users
http://www.securitytracker.com/id/1030068
Arbitrary Code Execution Bug in Android Reader
A security vulnerability in Adobe Reader for Android could give an attacker the ability to execute arbitrary code.
http://threatpost.com/arbitrary-code-execution-bug-in-android-reader/105421