AndroiPit von Heartbleed betroffen?

  • Antworten:6
  • OffenNicht stickyNicht beantwortet
  • Forum-Beiträge: 3

11.06.2014, 08:44:02 via Website

Hallo,

von LastPass (z.B. htt*s://lastpass.com/heartbleed/) wird AndroidPit nach wie vor als unsicher eingestuft. Vielleicht einfach nur, weil AndroidPit noch in der GitHub-Liste vom 11.4. steht: htt*s://gist.github.com/dberkholz/10169691/20197f6f6a7c9ddef5c03caaf9fc22ac9d99f2a2. Hier die Auswertung dazu:

WARNING: androidpit.de was confirmed as vulnerable either publicly via statement or on 4/8/2014 LINK
Site:    androidpit.de
Server software:    Apache/2.2.22 (Debian) 
Was vulnerable:    Possibly (known use OpenSSL, but might be using a safe version)
SSL Certificate:    Possibly Unsafe (created 1 year ago at Feb 12 00:00:00 2013 GMT) Additional checks SSL certificate history checks yielded no new information
Assessment:    It's not clear if it was vulnerable so wait for the company to say something publicly, if you used the same password on any other sites, update it now.

Gibt es dazu eine offizielle Aussage (ich habe keine gefunden)? Wenn alles in Ordnung ist, sollte dies vielleicht auch an LastPass kommuniziert werden, um nicht weiter für Irritation zu sorgen.

Grüße
Martin

Antworten
  • Forum-Beiträge: 437

11.06.2014, 14:20:00 via Website

Hallo Martin,

Danke für deine Nachricht.

AndroidPIT hatte auch eine Heartbleed-Lücke. Wir haben zeitnah unsere SSL-Bibliothek gepatched und den Fehler behoben. Um ganz sicher zu sein, solltest du dein Passwort ändern -- das ist die standard Vorgehensweise bei allen von Heartbleed betroffenen Seiten.

Unseren SSL-Zertifikat werden wir auch demnächst austauschen, hierdurch geht jedoch keine Gefahr aus.

Viele Grüße,
Caspar

Antworten
  • Forum-Beiträge: 3

11.06.2014, 14:33:14 via Website

Hallo Caspar,

danke für die Antwort.

Passwort-Änderung hatte ich damals bereits vorgenommen, von daher alles ok, was mich betrifft.

Die LastPass-Warnung rührt möglicherweise daher, dass das SSL-Zertifikat noch nicht erneuert wurde. In der Auswertung wird dieses ja auch mit Februar 2013 datiert, was in Kombination mit der damals festgestellten Lücke auf eine noch nicht behobene Gefährdung schließen lässt.

Also am besten schnell Zertifikat erneuern ;)

Grüße
Martin

Antworten
Gelöschter Account
  • Forum-Beiträge: 8.739

11.06.2014, 15:48:16 via App

Ich habe auch gerade bei Aussage geschriehen, das nicht erneuerte Zertifikat stelle kein Risiko dar. Das ist sehr wohl ein großes Risiko!


Ich habe keine Lust mehr auf Bastelei und widme mich lieber wieder dem Real Life. Die Idee gärte schon länger. Tschüß!


Antworten
  • Forum-Beiträge: 3

09.08.2014, 18:26:47 via Website

Auch 2 Monate später wird AndroidPIT von LastPass noch immer als unsicher eingestuft. Ist denn das Zertifikat noch immer nicht ausgetauscht?

Antworten
Gelöschter Account
  • Forum-Beiträge: 8.246

10.08.2014, 08:33:02 via Website

Wohl nicht, wie es ausschaut....

Antworten

Empfohlene Artikel