AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein GUI-Design mit VCL / FireMonkey / Common Controls Delphi Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9.8e
Thema durchsuchen
Ansicht
Themen-Optionen

Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9.8e

Ein Thema von Assertor · begonnen am 5. Jun 2007 · letzter Beitrag vom 2. Jun 2008
Antwort Antwort
Seite 1 von 2  1 2      
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#1

Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9.8e

  Alt 5. Jun 2007, 10:34
Hallo DPler,

ich frage mich, ob es für Indy auch endlich eine aktualisierte OpenSSL dll Sammlung gibt. Die verfügbaren Versionen 0.96 bis 0.96m glänzen ja mit etlichen Buffer Overflows etc.

Aktuell ist die 0.9.8e. Weiß einer, wo ich die für Indy herbekomme?

[Sarkasmus]Oder sind alle durchschnittlichen Delphi-Programmierer Inselbewohner und wundern sich, daß Sie irgendwann in Secunia stehen [/off]

Gruß winkel79

P.S.:


Aktuelle Version OpenSSL v0.9.8e (Stable): http://www.delphipraxis.net/internal...=732035#732035 (6 Beiträge tiefer)


[edit=Matze]Link hinzugefügt. MfG, Matze[/edit]
[edit=Matze]Thema als "wichtig" markiert. MfG, Matze[/edit]
[edit=Matze]Thema wieder als "normal" markiert. MfG, Matze[/edit]
Frederik
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#2

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version

  Alt 5. Jun 2007, 10:47
Indy mit Download-URL
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#3

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version

  Alt 5. Jun 2007, 10:56
Hallo Bernhard,

Zitat von Bernhard Geyer:
danke für die knappe Antwort aber:

Da kennt sich aber einer nicht mit den Indys aus

Nein, das sind die puren Indys. Aber nicht die speziell für Indy kompilierte Version der OpenSSL dlls. Diese enthalten Anpassungen für Indy und daher kann ich leider keine precompiled Binaries für Win32 nutzen.

So viele leute nutzen die Indys mit den OpenSSL dlls in alten Versionen. Hoffentlich nicht im professionellen produktiven Bereich. Da könnte man auch die eigene Software gebundelt mit Win XP SP1 - Rechnern verkaufen. Exploits gibt es auch dafür.

Legen denn andere Delphi Programmierer keinen Wert auf sichere Anwendungsentwicklung?

Gruß winkel79
Frederik
  Mit Zitat antworten Zitat
Benutzerbild von DGL-luke
DGL-luke

Registriert seit: 1. Apr 2005
Ort: Bad Tölz
4.149 Beiträge
 
Delphi 2006 Professional
 
#4

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version

  Alt 5. Jun 2007, 11:58
Ich glaube, hier im Forum wirst du niemanden finden, der dir da helfen kann.
Lukas Erlacher
Suche Grafiktablett. Spenden/Gebrauchtangebote willkommen.
Gotteskrieger gesucht!
For it is the chief characteristic of the religion of science that it works. - Isaac Asimov, Foundation I, Buch 1
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#5

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version

  Alt 5. Jun 2007, 12:25
Zitat von DGL-luke:
Ich glaube, hier im Forum wirst du niemanden finden, der dir da helfen kann.
Das befürchte ich auch. Aber das Thema ist ja wirklich wichtig, an sich sollte es sogar einen eigene Themengruppe für die Sicherheits- und Stabilitätsaspekte von professioneller Anwendungsentwicklung in Delphi geben...

Es kann ja nicht sein, daß jeder über Sicherheitslücken in Windows, dem Internet Explorer oder so meckert, aber selbst wird programmiert ohne Rücksicht auf Verluste. Häufig keine Fehlerbehandlung (Delphi hat ja Exceptions , keine Typprüfung, keine Tests für die unwahrscheinlichen Fälle von Fehlfunktionen etc.pp.

Zum aktuellen Problem: Ich erstelle gerade selber angepasst Versionen der aktuellen dlls unter Cygwin. Diese stelle ich gerne zur Verfügung (Win32 dlls für Indy 9 und 10, x64 dlls sind mangels Delphi Unterstützung für x64 bisher ja noch obsolet). Vielleicht kann sich mal ein Moderator hier einschalten.

Gruß winkel79
Frederik
  Mit Zitat antworten Zitat
Benutzerbild von DGL-luke
DGL-luke

Registriert seit: 1. Apr 2005
Ort: Bad Tölz
4.149 Beiträge
 
Delphi 2006 Professional
 
#6

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version

  Alt 5. Jun 2007, 12:31
Ich habe bereits für ein kommerzielles Projekt kleinere Tests gemacht mit Indy + Indy SSL Handlers + OpenSSL (allerdings für ein nicht sooooo kritisches Teilprojekt, wenn man Ethereal aussperrt langts schon - und gegen einen professionell ausgeführten Angriff (mitm und ähnliches) kann man auch sonst wenig tun).

Wäre also an einer überarbeiteten Version sehr interessiert.
Lukas Erlacher
Suche Grafiktablett. Spenden/Gebrauchtangebote willkommen.
Gotteskrieger gesucht!
For it is the chief characteristic of the religion of science that it works. - Isaac Asimov, Foundation I, Buch 1
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#7

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version

  Alt 5. Jun 2007, 19:05
Welch ein Meisterwerk...

Nach ewigem Patchen und Kompilieren präsentiere ich der DP:
OpenSSL v0.9.8e (Stable) für Indy inkl. dem aktualisierten Headerfile für Indy.

Das Headerfile (IdSSLOpenSSLHeaders.pas) sollte auch unter Indy 9 funktionieren, getestet aber nur unter Indy 10.

Über Rückmeldungen freue ich mich.

Dann könnt Ihr auch Buffer-Overflow-frei Eure Software erzeugen! Zumindest was OpenSSL angeht...



Kurzanleitung:
Headerfile ins Programmverzeichnis, damit Delphi anstelle des Originals einbindet. Ggf. Projekt "neu erstellen".
Die Dateien libeay32.dll und libssl32.dll in das Verzeichnis der fertigen Anwendung.

Achtung: Der Name hat sich geändert. Seit längerem heißt das zweite File libssl32.dll und nicht mehr ssleay32.dll. Also die Dateien nicht umbenennen, sonst findet Euer Programm ggf. die zweite Datei woanders und macht einen Versionsmix (Dll-Hell genannt )

Lizenz wie bei den ursprünglichen Autoren.

Wer möchte, kann auch die Patch-Instruktionen (verschiedene Quellen für Versionen < 0.9.8 die mir geholfen haben) mit ca. 2 MB als ZIP und den fertig gepatchten Source der OpenSSL haben (ca. 14 MB als ZIP).

Gruß winkel79

Angehängte Dateien
Dateityp: zip openssl_0.9.8.e_indy_10_dlls_and_headerfile_476.zip (758,5 KB, 172x aufgerufen)
Frederik
  Mit Zitat antworten Zitat
Wonderdoc

Registriert seit: 5. Mai 2004
14 Beiträge
 
#8

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 14. Jul 2007, 15:47
@winkel79

Danke erstmal für die Erstellung der akt. Libs.
Für Indy9 mußte ich die IdSSLOpenSSLHeaders.pas noch ein wenig anpassen, da die IDSys.dcu bei Indy9 nicht vorh. ist.

mfg
Wonderdoc
Angehängte Dateien
Dateityp: zip idsslopensslheaders_f_r_indy9_110.zip (43,1 KB, 72x aufgerufen)
  Mit Zitat antworten Zitat
kochma

Registriert seit: 25. Mai 2007
3 Beiträge
 
#9

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 14. Jul 2007, 17:02
Hallo,

wisst ihr eigentlich, ob man die OpenSSL-Dlls in Deutschland mit einem Programm weitergeben darf?

Zitat:
PLEASE REMEMBER THAT EXPORT/IMPORT AND/OR USE OF STRONG CRYPTOGRAPHY SOFTWARE, PROVIDING CRYPTOGRAPHY HOOKS OR EVEN JUST COMMUNICATING TECHNICAL DETAILS ABOUT CRYPTOGRAPHY SOFTWARE IS ILLEGAL IN SOME PARTS OF THE WORLD. SO, WHEN YOU IMPORT THIS PACKAGE TO YOUR COUNTRY, RE-DISTRIBUTE IT FROM THERE OR EVEN JUST EMAIL TECHNICAL SUGGESTIONS OR EVEN SOURCE PATCHES TO THE AUTHOR OR OTHER PEOPLE YOU ARE STRONGLY ADVISED TO PAY CLOSE ATTENTION TO ANY EXPORT/IMPORT AND/OR USE LAWS WHICH APPLY TO YOU. THE AUTHORS OF OPENSSL ARE NOT LIABLE FOR ANY VIOLATIONS YOU MAKE HERE. SO BE CAREFUL, IT IS YOUR RESPONSIBILITY.
Grüße,

km
  Mit Zitat antworten Zitat
Benutzerbild von DGL-luke
DGL-luke

Registriert seit: 1. Apr 2005
Ort: Bad Tölz
4.149 Beiträge
 
Delphi 2006 Professional
 
#10

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 14. Jul 2007, 17:17
Nein, noch nicht alle aspekte von praktischer vernunft sind in Deutschland inzwischen illegal.
Lukas Erlacher
Suche Grafiktablett. Spenden/Gebrauchtangebote willkommen.
Gotteskrieger gesucht!
For it is the chief characteristic of the religion of science that it works. - Isaac Asimov, Foundation I, Buch 1
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:31 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz