AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein GUI-Design mit VCL / FireMonkey / Common Controls Delphi Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9.8e
Thema durchsuchen
Ansicht
Themen-Optionen

Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9.8e

Ein Thema von Assertor · begonnen am 5. Jun 2007 · letzter Beitrag vom 2. Jun 2008
Antwort Antwort
Seite 2 von 2     12   
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#11

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 23. Okt 2007, 10:30
So, nun hier mal wieder die aktuellen Sicherheitsfixes.

Aktuelle OpenSSL Version 0.9.8g. Gepatch für Indy, mit Headern für Indy 9 und 10. Einfach die IdSSLOpenHeaders9.pas bzw. IdSSLOpenHeaders10.pas in IdSSLOpenHeaders.pas umbenennen und in den Suchpfad bzw das Projektverzeichnis.

Gefixte Lücken + Bugfixes unter http://www.openssl.org

Danke an WonderDoc für die Indy9 Headeranpassung.

Gruß winkel79

P.S: Nur 35 Downloads der ersten Fassung? Wer SSL einsetzt um sichere Verbindungen zu nutzen und dann bekannte Lücken offen läst, der brauch kein SSL. Das ist nur Show für die Kunden.
Angehängte Dateien
Dateityp: zip openssl-0.9.8g_indy_patched_662.zip (810,1 KB, 112x aufgerufen)
Frederik
  Mit Zitat antworten Zitat
Benutzerbild von SubData
SubData

Registriert seit: 14. Sep 2004
Ort: Stuhr
1.078 Beiträge
 
Delphi 11 Alexandria
 
#12

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 23. Okt 2007, 10:43
Mal einen Dank für die aktuelle Version


Edit: Macht den Thread mal einer Sticky?
Ronny
/(bb|[^b]{2})/
  Mit Zitat antworten Zitat
Wonderdoc

Registriert seit: 5. Mai 2004
14 Beiträge
 
#13

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 23. Okt 2007, 12:11
Auch von mir ein recht schönen Dank für die neuen Libs.

mfg
Wonderdoc
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#14

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 7. Nov 2007, 20:44
@SubData, @Wonderdoc

Danke für die netten Worte, dann macht das auch Spaß zu helfen!

Und danke fürs Sticky machen.

Gruß winkel79
Frederik
  Mit Zitat antworten Zitat
Benutzerbild von meolus
meolus

Registriert seit: 28. Aug 2005
Ort: Aachen
20 Beiträge
 
Delphi 2006 Professional
 
#15

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 12. Mär 2008, 15:14
Ich nutze inzwischen die Indy 10.2.0.3 "Lazarus/FreePascal Port", welche bis auf nen paar Kleinigkeiten - zumindest bei meinem MailClient mit TIdPOP3, TIdSMTP, TIdIMAP, TIdNNTP, TIdMessage - das gleiche wie die Indy 10.1.5 sind.
Indy 10 Lazarus/FreePascal Port: http://www.indyproject.org/Sockets/fpc/index.DE.aspx

Damit funktionieren die speziell kompilierten OpenSSL-DLLs nicht mehr, aber dafür die "normal" kompilierten, die man auch schnell selber machen kann:
OpenSSL-Source: http://www.openssl.org/source/
Anleitung: http://www.ximera.de/hamster.html#openssl-kompilieren
Real programmers don't comment their code;
if it was hard to write, it should be hard to read.
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#16

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 12. Mär 2008, 16:37
Hallo meolus,

Danke für das Feedback!

Zitat von meolus:
Indy 10.2.0.3 "Lazarus/FreePascal Port"
Da ich diese noch nicht getestet habe: Verwendest Du die mit Delphi oder mit FP/Lazarus?

Zitat von meolus:
Damit funktionieren die speziell kompilierten OpenSSL-DLLs nicht mehr
Das ist klar. Die OpenSSL-Anpassungen sind speziell für die Delphi-Version der Indys und für deren Headerdateien. Nutzt Du die DLLs mit anderen Headerdateien gibt es Probleme.

Kannst Du sagen, was genau nicht geht? Gerne auch per PN. Vielleicht eine Fehlerbeschreibung, Fehlermeldung oder ähnliches?

Sobald ich etwas mehr Zeit habe (ca. April) werde ich auf der Indy Seite auch entsprechende Infos zu den OpenSSL Patches veröffentlichen.

Edit: Hab gerade gesehen, es soll eine gemeinsame Codebase für FP/Delphi sein. Es wurde hier an der OpenSSL Implementation geschraubt.

Es dürfte somit auch mit den herkömmlichen Delphi OpenSSL DLLs nicht gehen. Für diesen Port werden wohl die originalen OpenSSL DLLs verwendet. Das würde mir die Arbeit in Zukunft natürlich erleichtern

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
Benutzerbild von meolus
meolus

Registriert seit: 28. Aug 2005
Ort: Aachen
20 Beiträge
 
Delphi 2006 Professional
 
#17

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 12. Mär 2008, 17:39
Ich nutze das "Borland Developer Studio 2006".

Bisher habe ich nur mein MailProgramm umgestellt (TIdPOP3, TIdSMTP, TIdIMAP, TIdNNTP, TIdMessage) und dabei musste ich dann konkret ändern:
- TIdAntiFreeze gibt es nicht mehr, ich habe jedoch habe ich keine Beeinträchtigung ohne.
- Bei OnWorkBegin und OnWorkEnd hat sich die Signatur von Sender: TObject; AWorkMode: TWorkMode; AWorkCountMax: Integer nach Sender: TObject; AWorkMode: TWorkMode; AWorkCountMax: Int64 verändert.
- Der Fehler, dass die Uhrzeit abhängig von der Zeitzone nicht korrekt ermittelt werden kann, funktioniert nun. Bei meinen Indy 10.1.5 war die entsprechende Funktion einfach leer :-/
- Den Bezeichnungen der Elemente der Sets TIdPOP3AuthenticationType und TIdSMTPAuthenticationType wurden ein "p" bzw. "s" vorne angefügt (z.B. atUserPass => patUserPass)

Ansonsten halt die Veränderung mit den jetzt unveränderten OpenSSL-DLLs.
Hab mein Programm vor 1,5 Wochen auf Indy 10.2.0.3 geändert und kompiliert und nutze es seitdem, alle paar Stunden, ohne Probleme.

Ich weiß nicht wie ihr normalerweise die Indy-Komponenten verwendet, aber ich füge die gar nichtmal der Komponenten-Palette hinzu (scheint auch gar keine *.dpk-Dateien zu geben bei den 10.2.0.3ern), sondern trage die lediglich in den Projekten zu "Suchpfad" und "Pfad für Debugger" ein. Dies bezüglich sind die jetzt auch schöner, da man nur noch das "fpc"-Verzeichnis dort hinzufügen muss, anstatt "Core", "Protocols", "SuperCore" und "System" in genau dieser Reihenfolge.
Auch die Indy-Komponenten die beim BDS'06 dabei sind installiere ich nie, weil die bei mir noch nie funktioniert haben, d.h. meine Projekte waren auf einmal instabil und fehlerhaft.

EDIT:
Zitat:
Kannst Du sagen, was genau nicht geht?
Ich habe also nichts bis auf das schätzungsweise obsolete TIdAntiFreeze gefunden, was überhaupt nicht mehr geht, sondern nur ein paar Anpassungen von Bezeichnern und Signaturen.

BTW: Da fällt mir noch ein:
Die GetVersion-Methode die es früher glaube ich bei jeder Komponente aus Indy gab habe ich noch nicht wieder gefunden.

EDIT2:
Die beiden DLLs müssen noch immer libeay32.dll und ssleay32.dll sein; also die libssl32.dll umbenennen in ssleay32.dll.
Real programmers don't comment their code;
if it was hard to write, it should be hard to read.
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#18

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 7. Mai 2008, 13:04
Hallo DPler,

mal eine aktuelle Anpassung. Korrekte DLLs und neue Header für Indy9/10/10 SVN.

Grund:
Mir ist u.a. in Retail-Software bei der Arbeit (!) aufgefallen, dass manche Leute die Umbenennung der DLLs im OpenSSL-Stil nicht verstanden haben. In Rücksprache mit Olaf sind die DLLs nun nach der alten Delphi-Konvention benannt.

Bei OpenSSL sind die Namen:
libssl32.dll
libeay32.dll

Bei Indy für Delphi waren und sind die Namen (jetzt wieder):
ssleay32.dll (diese Datei ist absolut identisch mit meiner vorherigen libssl32.dll aus 0.9.8g)
libeay32.dll

Also: Bitte aufpassen und keine -3- Dateien ausliefern.

Gruß Assertor

Angehängte Dateien
Dateityp: zip openssl-0.9.8g_indy_patched_dlls_and_headers_140.zip (884,5 KB, 30x aufgerufen)
Frederik
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#19

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9

  Alt 2. Jun 2008, 18:10
Nachtrag:

Da das ganze hier etwas unübersichtlich wird, habe ich Matze gebeten, diesen Thread nicht mehr als Sticky zu markieren.

Ich werde kurzfristig (heute?) ein aktuelles Update auf OpenSSL 0.9.8h nachlegen - dies jedoch in einem neuen Thread der dann nur für die aktuellen Updates ist.

Update: Alle Updates sind ab jetzt in http://www.delphipraxis.net/internal...=896974#896974 zu finden.

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:52 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz