AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Indy + OpenSSL 1.1.1l

Ein Thema von tewes · begonnen am 31. Aug 2021 · letzter Beitrag vom 2. Sep 2021
Antwort Antwort
tewes

Registriert seit: 31. Jan 2007
25 Beiträge
 
#1

Indy + OpenSSL 1.1.1l

  Alt 31. Aug 2021, 14:52
Hallo zusammen,

aufgrund dieser Meldung
https://www.heise.de/news/OpenSSL-Sc...eitrag.beitrag

ist es unserem IT-Sicherheitsbeauftragter wichtig, möglichst schnell umzusteigen.

Soweit ich es verstanden habe kann Indy aus Delphi 10.2.2 aktuell "nur" mit der Versionschiene 1.0.2x und den Dateien libeay32.dll +
ssleay32.dll arbeiten?
Die gepatchte Version 1.0.2za liegt hinter einer Bezahlschranke:
https://www.openssl.org/support/contracts.html

Wie ist das bei der neuen Delphi Version 11? Kommt die etwa mit "unsicherem" Indy?

Wie geht ihr damit um?
  Mit Zitat antworten Zitat
AWeber

Registriert seit: 12. Feb 2013
19 Beiträge
 
#2

AW: Indy + OpenSSL 1.1.1l

  Alt 31. Aug 2021, 21:20
Hallo,
also ich erwarte da von EMBA ehrlich gesagt nicht viel... es ist wie bei vielen Projekten sobald EMBA seine Finger danach ausstreckt...

Also ich habe mir auf meinem 10.4.1 das Indy mit dem hier im Forum vorgestellten neuen Openssl IOHandler kompiliert und kann so die 1.1.1 Versionen nutzen nach anfänglichen kleineren Hürden klappt das auch recht gut..
Es ist keine Hexerei.

André
  Mit Zitat antworten Zitat
gmc616

Registriert seit: 25. Jun 2004
Ort: Jena
627 Beiträge
 
Delphi 10.3 Rio
 
#3

AW: Indy + OpenSSL 1.1.1l

  Alt 2. Sep 2021, 12:50
Nur damit ich es auch verstehe ...
Das Sicherheitsproblem steckt doch nicht in den Indys. Es steckt im OpenSSL.

Als das letzte mal (so weit ich weiß) ein Sicherheitsproblem im OpennSSL aufgetaucht war, hatte es genügt einfach die libeay32.dll + ssleay32.dll durch eine aktualisierte Version auszutauschen und alles war palatti.
  Mit Zitat antworten Zitat
tewes

Registriert seit: 31. Jan 2007
25 Beiträge
 
#4

AW: Indy + OpenSSL 1.1.1l

  Alt 2. Sep 2021, 16:04
Nur damit ich es auch verstehe ...
Das Sicherheitsproblem steckt doch nicht in den Indys. Es steckt im OpenSSL.

Als das letzte mal (so weit ich weiß) ein Sicherheitsproblem im OpennSSL aufgetaucht war, hatte es genügt einfach die libeay32.dll + ssleay32.dll durch eine aktualisierte Version auszutauschen und alles war palatti.
Stimmt bis Version 1.0.2u - Dieser Entwicklungszweig wurde eingestellt.

Aktuelle OpenSSL-Versionen (ab 1.1.0) enthalten diese DLLs nicht mehr. "Theoretisch" sollte dies gelten(Die Namensänderung wird nicht alles sein):
libeay32.dll -> libcrypto.dll
ssleay32.dll -> libssl.dll
(https://stackoverflow.com/questions/...enssl-on-windo)

Die "Indys" müssten an das neue Datenmodell(?) angepasst werden.
mezen hat hierzu vorgearbeitet (habe ich aber noch probiert):
https://www.delphipraxis.net/204185-...tls-1-3-a.html

Ganz optimistisch hatte ich gehofft, dass Indy angepasst wird und Embarcadero dies in Version 11 übernimmt bzw. einen Patch für frühere Versionen bereitstellt.
Ist schließlich sicherheitsrelevant...
  Mit Zitat antworten Zitat
Antwort Antwort

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:56 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz