Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9.8e
 

Hallo DPler,

ich frage mich, ob es für Indy auch endlich eine aktualisierte OpenSSL dll Sammlung gibt. Die verfügbaren Versionen 0.96 bis 0.96m glänzen ja mit etlichen Buffer Overflows etc.

Aktuell ist die 0.9.8e. Weiß einer, wo ich die für Indy herbekomme?

[Sarkasmus]Oder sind alle durchschnittlichen Delphi-Programmierer Inselbewohner und wundern sich, daß Sie irgendwann in Secunia stehen :evil: [/off]

Gruß winkel79

P.S.: :dp:


Aktuelle Version OpenSSL v0.9.8e (Stable): http://www.delphipraxis.net/internal...=732035#732035 (6 Beiträge tiefer)


[edit=Matze]Link hinzugefügt. MfG, Matze[/edit]
[edit=Matze]Thema als "wichtig" markiert. MfG, Matze[/edit]
[edit=Matze]Thema wieder als "normal" markiert. MfG, Matze[/edit]

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version
 

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version
 

Hallo Bernhard,

danke für die knappe Antwort aber:

Da kennt sich aber einer nicht mit den Indys aus ;)

Nein, das sind die puren Indys. Aber nicht die speziell für Indy kompilierte Version der OpenSSL dlls. Diese enthalten Anpassungen für Indy und daher kann ich leider keine precompiled Binaries für Win32 nutzen.

So viele leute nutzen die Indys mit den OpenSSL dlls in alten Versionen. Hoffentlich nicht im professionellen produktiven Bereich. Da könnte man auch die eigene Software gebundelt mit Win XP SP1 - Rechnern verkaufen. Exploits gibt es auch dafür.

Legen denn andere Delphi Programmierer keinen Wert auf sichere Anwendungsentwicklung? :gruebel:

Gruß winkel79

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version
 

Ich glaube, hier im Forum wirst du niemanden finden, der dir da helfen kann.

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version
 

Das befürchte ich auch. Aber das Thema ist ja wirklich wichtig, an sich sollte es sogar einen eigene Themengruppe für die Sicherheits- und Stabilitätsaspekte von professioneller Anwendungsentwicklung in Delphi geben...

Es kann ja nicht sein, daß jeder über Sicherheitslücken in Windows, dem Internet Explorer oder so meckert, aber selbst wird programmiert ohne Rücksicht auf Verluste. Häufig keine Fehlerbehandlung (Delphi hat ja Exceptions ;), keine Typprüfung, keine Tests für die unwahrscheinlichen Fälle von Fehlfunktionen etc.pp.

Zum aktuellen Problem: Ich erstelle gerade selber angepasst Versionen der aktuellen dlls unter Cygwin. Diese stelle ich gerne zur Verfügung (Win32 dlls für Indy 9 und 10, x64 dlls sind mangels Delphi Unterstützung für x64 bisher ja noch obsolet). Vielleicht kann sich mal ein Moderator hier einschalten.

Gruß winkel79

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version
 

Ich habe bereits für ein kommerzielles Projekt kleinere Tests gemacht mit Indy + Indy SSL Handlers + OpenSSL (allerdings für ein nicht sooooo kritisches Teilprojekt, wenn man Ethereal aussperrt langts schon - und gegen einen professionell ausgeführten Angriff (mitm und ähnliches) kann man auch sonst wenig tun).

Wäre also an einer überarbeiteten Version sehr interessiert.

Re: Indy: Sicherheitslücken bei (Open)SSL. Wann neue Version
 

Welch ein Meisterwerk...

Nach ewigem Patchen und Kompilieren präsentiere ich der DP:
OpenSSL v0.9.8e (Stable) für Indy inkl. dem aktualisierten Headerfile für Indy.

Das Headerfile (IdSSLOpenSSLHeaders.pas) sollte auch unter Indy 9 funktionieren, getestet aber nur unter Indy 10.

Über Rückmeldungen freue ich mich.

Dann könnt Ihr auch Buffer-Overflow-frei Eure Software erzeugen! Zumindest was OpenSSL angeht...

:bounce1:

Kurzanleitung:
Headerfile ins Programmverzeichnis, damit Delphi anstelle des Originals einbindet. Ggf. Projekt "neu erstellen".
Die Dateien libeay32.dll und libssl32.dll in das Verzeichnis der fertigen Anwendung.

Achtung: Der Name hat sich geändert. Seit längerem heißt das zweite File libssl32.dll und nicht mehr ssleay32.dll. Also die Dateien nicht umbenennen, sonst findet Euer Programm ggf. die zweite Datei woanders und macht einen Versionsmix (Dll-Hell genannt ;) )

Lizenz wie bei den ursprünglichen Autoren.

Wer möchte, kann auch die Patch-Instruktionen (verschiedene Quellen für Versionen < 0.9.8 die mir geholfen haben) mit ca. 2 MB als ZIP und den fertig gepatchten Source der OpenSSL haben (ca. 14 MB als ZIP).

Gruß winkel79

:dp:

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

@winkel79

Danke erstmal für die Erstellung der akt. Libs.
Für Indy9 mußte ich die IdSSLOpenSSLHeaders.pas noch ein wenig anpassen, da die IDSys.dcu bei Indy9 nicht vorh. ist.

mfg
Wonderdoc

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Hallo,

wisst ihr eigentlich, ob man die OpenSSL-Dlls in Deutschland mit einem Programm weitergeben darf?

Grüße,

km

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Nein, noch nicht alle aspekte von praktischer vernunft sind in Deutschland inzwischen illegal.

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

So, nun hier mal wieder die aktuellen Sicherheitsfixes.

Aktuelle OpenSSL Version 0.9.8g. Gepatch für Indy, mit Headern für Indy 9 und 10. Einfach die IdSSLOpenHeaders9.pas bzw. IdSSLOpenHeaders10.pas in IdSSLOpenHeaders.pas umbenennen und in den Suchpfad bzw das Projektverzeichnis.

Gefixte Lücken + Bugfixes unter http://www.openssl.org

Danke an WonderDoc für die Indy9 Headeranpassung.

Gruß winkel79

P.S: Nur 35 Downloads der ersten Fassung? Wer SSL einsetzt um sichere Verbindungen zu nutzen und dann bekannte Lücken offen läst, der brauch kein SSL. Das ist nur Show für die Kunden.

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Mal einen Dank für die aktuelle Version :)


Edit: Macht den Thread mal einer Sticky? :)

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Auch von mir ein recht schönen Dank für die neuen Libs.

mfg
Wonderdoc

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

@SubData, @Wonderdoc

Danke für die netten Worte, dann macht das auch Spaß zu helfen!

Und danke fürs Sticky machen.

Gruß winkel79

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Ich nutze inzwischen die Indy 10.2.0.3 "Lazarus/FreePascal Port", welche bis auf nen paar Kleinigkeiten - zumindest bei meinem MailClient mit TIdPOP3, TIdSMTP, TIdIMAP, TIdNNTP, TIdMessage - das gleiche wie die Indy 10.1.5 sind.
Indy 10 Lazarus/FreePascal Port: http://www.indyproject.org/Sockets/fpc/index.DE.aspx

Damit funktionieren die speziell kompilierten OpenSSL-DLLs nicht mehr, aber dafür die "normal" kompilierten, die man auch schnell selber machen kann:
OpenSSL-Source: http://www.openssl.org/source/
Anleitung: http://www.ximera.de/hamster.html#openssl-kompilieren

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Hallo meolus,

Danke für das Feedback!

Da ich diese noch nicht getestet habe: Verwendest Du die mit Delphi oder mit FP/Lazarus?

Das ist klar. Die OpenSSL-Anpassungen sind speziell für die Delphi-Version der Indys und für deren Headerdateien. Nutzt Du die DLLs mit anderen Headerdateien gibt es Probleme.

Kannst Du sagen, was genau nicht geht? Gerne auch per PN. Vielleicht eine Fehlerbeschreibung, Fehlermeldung oder ähnliches?

Sobald ich etwas mehr Zeit habe (ca. April) werde ich auf der Indy Seite auch entsprechende Infos zu den OpenSSL Patches veröffentlichen.

Edit: Hab gerade gesehen, es soll eine gemeinsame Codebase für FP/Delphi sein. Es wurde hier an der OpenSSL Implementation geschraubt.

Es dürfte somit auch mit den herkömmlichen Delphi OpenSSL DLLs nicht gehen. Für diesen Port werden wohl die originalen OpenSSL DLLs verwendet. Das würde mir die Arbeit in Zukunft natürlich erleichtern ;)

Gruß Assertor

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Ich nutze das "Borland Developer Studio 2006".

Bisher habe ich nur mein MailProgramm umgestellt (TIdPOP3, TIdSMTP, TIdIMAP, TIdNNTP, TIdMessage) und dabei musste ich dann konkret ändern:
- TIdAntiFreeze gibt es nicht mehr, ich habe jedoch habe ich keine Beeinträchtigung ohne.
- Bei OnWorkBegin und OnWorkEnd hat sich die Signatur von Sender: TObject; AWorkMode: TWorkMode; AWorkCountMax: Integer nach Sender: TObject; AWorkMode: TWorkMode; AWorkCountMax: Int64 verändert.
- Der Fehler, dass die Uhrzeit abhängig von der Zeitzone nicht korrekt ermittelt werden kann, funktioniert nun. Bei meinen Indy 10.1.5 war die entsprechende Funktion einfach leer :-/
- Den Bezeichnungen der Elemente der Sets TIdPOP3AuthenticationType und TIdSMTPAuthenticationType wurden ein "p" bzw. "s" vorne angefügt (z.B. atUserPass => patUserPass)

Ansonsten halt die Veränderung mit den jetzt unveränderten OpenSSL-DLLs.
Hab mein Programm vor 1,5 Wochen auf Indy 10.2.0.3 geändert und kompiliert und nutze es seitdem, alle paar Stunden, ohne Probleme. :)

Ich weiß nicht wie ihr normalerweise die Indy-Komponenten verwendet, aber ich füge die gar nichtmal der Komponenten-Palette hinzu (scheint auch gar keine *.dpk-Dateien zu geben bei den 10.2.0.3ern), sondern trage die lediglich in den Projekten zu "Suchpfad" und "Pfad für Debugger" ein. Dies bezüglich sind die jetzt auch schöner, da man nur noch das "fpc"-Verzeichnis dort hinzufügen muss, anstatt "Core", "Protocols", "SuperCore" und "System" in genau dieser Reihenfolge.
Auch die Indy-Komponenten die beim BDS'06 dabei sind installiere ich nie, weil die bei mir noch nie funktioniert haben, d.h. meine Projekte waren auf einmal instabil und fehlerhaft.

EDIT:
Ich habe also nichts bis auf das schätzungsweise obsolete TIdAntiFreeze gefunden, was überhaupt nicht mehr geht, sondern nur ein paar Anpassungen von Bezeichnern und Signaturen.

BTW: Da fällt mir noch ein:
Die GetVersion-Methode die es früher glaube ich bei jeder Komponente aus Indy gab habe ich noch nicht wieder gefunden.

EDIT2:
Die beiden DLLs müssen noch immer libeay32.dll und ssleay32.dll sein; also die libssl32.dll umbenennen in ssleay32.dll.

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Hallo DPler,

mal eine aktuelle Anpassung. Korrekte DLLs und neue Header für Indy9/10/10 SVN.

Grund:
Mir ist u.a. in Retail-Software bei der Arbeit (!) aufgefallen, dass manche Leute die Umbenennung der DLLs im OpenSSL-Stil nicht verstanden haben. In Rücksprache mit Olaf sind die DLLs nun nach der alten Delphi-Konvention benannt.

Bei OpenSSL sind die Namen:
libssl32.dll
libeay32.dll

Bei Indy für Delphi waren und sind die Namen (jetzt wieder):
ssleay32.dll (diese Datei ist absolut identisch mit meiner vorherigen libssl32.dll aus 0.9.8g)
libeay32.dll

Also: Bitte aufpassen und keine -3- Dateien ausliefern.

Gruß Assertor

:dp:

Re: Indy Sicherheitslücken bei (Open)SSL gefixt: Version 0.9
 

Nachtrag:

Da das ganze hier etwas unübersichtlich wird, habe ich Matze gebeten, diesen Thread nicht mehr als Sticky zu markieren.

Ich werde kurzfristig (heute?) ein aktuelles Update auf OpenSSL 0.9.8h nachlegen - dies jedoch in einem neuen Thread der dann nur für die aktuellen Updates ist.

Update: Alle Updates sind ab jetzt in http://www.delphipraxis.net/internal...=896974#896974 zu finden.

Gruß Assertor