Xampp Openssl Schwachstelle

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Xampp Openssl Schwachstelle

Postby hearthbleed » 08. April 2014 15:07

http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
hearthbleed
 
Posts: 1
Joined: 08. April 2014 15:04
Operating System: Win7

Re: Xampp Openssl Schwachstelle

Postby Altrea » 08. April 2014 21:20

Vielen Dank für die Information.

Betroffen ist lediglich der XAMPP 1.8.3-X Zweig der OpenSSL 1.0.1 einsetzt. XAMPP 1.8.2-X enthält OpenSSL 0.9.8 und ist daher nicht betroffen.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8286
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Xampp Openssl Schwachstelle

Postby PeterbusUnum » 09. April 2014 07:00

Als jemand der betroffen ist mit XAMPP 1.8.3-3 - Kann man ein zeitnahes Update erwarten und wenn nicht, wie update ich die von XAMPP verwendete OpenSSL Version zu 1.0.1g?
Ist ja schön und gut, wenn "nur" die aktuellste Distribution betroffen ist, aber ein wenig mehr Informationen zum "was tun" wären schon nett. :)

Danke im Voraus!
PeterbusUnum
 
Posts: 2
Joined: 09. April 2014 06:58
Operating System: Windows Server 2008 R2

Re: Xampp Openssl Schwachstelle

Postby Altrea » 09. April 2014 08:04

Hallo PeterbusUnum,

Wird XAMPP nur so eingesetzt, wie es vorgesehen und supportet wird (nämlich als lokale Test- und Entwicklungsumgebung) besteht sowieso keine Gefahr, da externe Anfragen von unbekannten garnicht erst vorkommen.
Man kann OpenSSL auch vollständig deaktivieren, um die Schwachstelle auszuschließen. Hierzu einfach das mod_ssl Modul in der Apache httpd.conf sowieso die openssl extension in der php.ini auskommentieren und Apache neustarten.
Dann funktioniert aber natürlich auch kein SSL mehr.

mit freundlichen Grüßen,
Altrea
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8286
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Xampp Openssl Schwachstelle

Postby Papache » 09. April 2014 08:47

Hallo,

ich setze XAMPP produktiv ein und würde mich über einen schnellen Fix freuen.
Es sollte vermutlich schon reichen, die OpenSSL-Dateien einfach mit aktuellen Versionen zu überschreiben, die vom XAMPP-Team entsprechend kompiliert werden müssten.
Papache
 
Posts: 5
Joined: 09. April 2014 08:45
Operating System: Linux

Re: Xampp Openssl Schwachstelle

Postby Altrea » 09. April 2014 08:59

Papache wrote:ich setze XAMPP produktiv ein und würde mich über einen schnellen Fix freuen.

Wir betonen immer wieder, dass XAMPP nicht als Produktiv- oder Liveserver konzipiert und unterstützt wird.
Darüber freuen kannst du dich natürlich trotzdem, aber erwarten darfst du nichts. Theoretisch gibt es auf XAMPP Seite keinen Druck, wenn alle das Paket einsetzen wie es gedacht wäre.

Papache wrote:Es sollte vermutlich schon reichen, die OpenSSL-Dateien einfach mit aktuellen Versionen zu überschreiben, die vom XAMPP-Team entsprechend kompiliert werden müssten.

Das XAMPP-Team muss erstmal garnichts. Zum einen ist die XAMPP Entwicklung in die Hände von Bitnami übergeben, zum anderen basieren die Apache Kompilate auf Apachelounge quellen und Apachelounge hat derzeit noch keine OpenSSL 1.0.1g Version für die Apache 2.4 Version veröffentlicht.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8286
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Xampp Openssl Schwachstelle

Postby pradas » 09. April 2014 10:38

http://heartbleed.com/

How to fix heartbleed openSSL bug in Xampp v1.8.3-3 (openSSL 1.0.1)

1. Test you site:
http://possible.lv/tools/hb/
If have: "Server is vulnerable, please upgrade software ASAP."
2. You need:
Download http://www.apachelounge.com/download/
httpd-2.4.9-win32-VC11.zip and unpack arhive
3. Shutdown Apache service!
4. Copy and replace all files from unpacked arhive "apache24\bin to Your xampp directory disk:\xampp\apache\bin (in xampp folder not need delete any files, just replace!!!)
WARNING Please backup bin directory!!!
5. Start Apache service!
6. Test server again http://possible.lv/tools/hb/
7. Enjoy "Your server appears to be patched against this bug."
+ now update Apache from 2.4.7 to 2.4.9

P.S. After 1-2 days update new from 1.0.1g to 1.0.2 openssl stable (curent 1.0.2 beta)
https://www.openssl.org/news/secadv_20140407.txt
Last edited by pradas on 09. April 2014 14:54, edited 1 time in total.
pradas
 
Posts: 4
Joined: 09. April 2014 10:30
Operating System: Server 2012

Re: Xampp Openssl Schwachstelle

Postby Papache » 09. April 2014 12:34

Pradas, so eine Antwort hätte ich eigentlich von einem Moderator erwartet, danke.
Allerdings nutze ich XAMMP unter Linux - ich habe mich nur mal dem Windows-Thread hier angeschlossen, weil es ja beide Systeme betrifft.

Altrea, ohne XAMPP gibt es unter den gängigsten Linux-Distributionen das Problem, dass Software, die "moderne" Komponenten (aktuelle PHP Version, aktuelle MySQL-Version etc.) voraussetzt, nicht funktioniert (weil die von der Distribution vertriebenen und supporteten Versionen zu alt sind) und man auf Alternativprodukte (wie XAMPP) angewiesen ist, die aktuelle Komponenten anbieten. Um sich jede Komponente selbst zu kompilieren, fehlen oft Zeit und ggf. auch KnowHow. Außerdem kann man in dem Fall auch nicht auf Fixes der Distribution zurückgreifen, gleiches gilt für das Einbinden fremder Repositories. Kurz: es ist einfach nicht praktikabel.
XAMPP kommt hier sehr gelegen. Schnell installiert, relativ aktuell und richtig konfiguriert auch nicht unsicherer als die von Distributionen mitgelieferte Software.

Vielleicht wäre es eine Anregung, eine "Enterprise"-Version von XAMPP anzubieten, mit Support (Fixes) und gegen Bezahlung. Das scheint eine Marktlücke zu sein.
Eventuell wäre aber auch eine ausführliche Dokumentation, z.B. mit Tipps, wie man einzelne Komponenten einer XAMPP-Version selbst updaten kann, sinnvoll.

Natürlich ist es für die "Macher" das einfachste, zu sagen "ist nur für Testsysteme gedacht" und so Probleme einfach an sich abgleiten zu lassen.
Verständlich, wenn man seine Freizeit gratis in ein "Hobbyprojekt" investiert.
Man könnte das Hobby aber evtl. auch zu einer bequemen Einkommensquelle machen. Es sollte kein besonders großer Aufwand sein, eine OpenSSL-Version im XAMPP auszutauschen, wenn man die Systeme zum Kompilieren sowieso schon rumstehen hat.
Papache
 
Posts: 5
Joined: 09. April 2014 08:45
Operating System: Linux

Re: Xampp Openssl Schwachstelle

Postby PeterbusUnum » 09. April 2014 15:19

pradas wrote:http://heartbleed.com/

How to fix heartbleed openSSL bug in Xampp v1.8.3-3 (openSSL 1.0.1)

1. Test you site:
http://possible.lv/tools/hb/
If have: "Server is vulnerable, please upgrade software ASAP."
2. You need:
Download http://www.apachelounge.com/download/
httpd-2.4.9-win32-VC11.zip and unpack arhive
3. Shutdown Apache service!
4. Copy and replace all files from unpacked arhive "apache24\bin to Your xampp directory disk:\xampp\apache\bin (in xampp folder not need delete any files, just replace!!!)
WARNING Please backup bin directory!!!
5. Start Apache service!
6. Test server again http://possible.lv/tools/hb/
7. Enjoy "Your server appears to be patched against this bug."
+ now update Apache from 2.4.7 to 2.4.9

P.S. After 1-2 days update new from 1.0.1g to 1.0.2 openssl stable (curent 1.0.2 beta)
https://www.openssl.org/news/secadv_20140407.txt


Besten Dank! Hat wunderbar funktioniert :)

@Altrea mir ist absolut klar, dass XAMPP nur für eine Testumgebung gedacht ist. Dennoch ist die Art und Weise deiner Antwort ein klein wenig enttäuschend und irritierend. Immerhin enthält die aktuellste Distribution eine bekannte Sicherheitslücke. Selbst, wenn es beim normalen Einsatzzweck mehr oder weniger egal ist, sollte doch daran gelegen sein nichts anzubieten, das derartig eklatante Lücken beinhaltet.
Der zitierte Fix funktioniert. Insofern soll es mir egal sein, ob XAMPP ein Update erhält. Seltsam ist es aber schon :)
PeterbusUnum
 
Posts: 2
Joined: 09. April 2014 06:58
Operating System: Windows Server 2008 R2

Re: Xampp Openssl Schwachstelle

Postby Altrea » 09. April 2014 20:21

Papache wrote:Pradas, so eine Antwort hätte ich eigentlich von einem Moderator erwartet, danke.

So eine Antwort hättest du von einem Moderator hier aber nie bekommen.
XAMPP hat einen ganz bestimmten Einsatzzweck, nämlich als lokale Test- und Entwicklungsumgebung. Die Hauptzielgruppe hier sind Anfänger die nicht die nötigen Kenntnisse haben einen Webserverstack selbst zusammenzustellen, aber PHP, Perl oder eine der anderen Komponenten kennenzulernen oder sich anzueignen.
Das ist die Zielgruppe die wir hier bedienen und bedienen möchten. XAMPP wird nur supported als Stack, ein Upgrade eines der Einzelkomponenten ist vielleicht möglich, wird von uns aber nicht aktiv unterstützt.
Wenn du dir einen Ferrari kaufst würde dich der Verkäufer auch wie ein Auto ansehen, wenn du ihn nach einem Dachgepäckträger, Anhängerkupplung oder dem Offroad-Paket fragen würdest.

Papache wrote:Altrea, ohne XAMPP gibt es unter den gängigsten Linux-Distributionen das Problem, dass Software, die "moderne" Komponenten (aktuelle PHP Version, aktuelle MySQL-Version etc.) voraussetzt, nicht funktioniert (weil die von der Distribution vertriebenen und supporteten Versionen zu alt sind) und man auf Alternativprodukte (wie XAMPP) angewiesen ist, die aktuelle Komponenten anbieten.

Gerade auf Linux sehe ich das Problem nicht. Die Paket-Manager bieten alle nur denkbaren Komponenten an, die integration ineinander ist auf Linux deutlich einfacher und wenn etwas fehlt kann man es ohne viel Aufwand nachkompilieren.
Auf Windows sieht das schon ganz anders aus.

Papache wrote:Um sich jede Komponente selbst zu kompilieren, fehlen oft Zeit und ggf. auch KnowHow.

Das ist schon wieder ein anderer Grund. Mit fehlendem Knowhow Komponenten selbst zu kompilieren sollte man sich aber auch nicht an einen Produktivserver wagen. Auch wenn es heutige Stacks denkbar einfach machen etwas grundlegendes aufzusetzen, so ist die Administration eines Produktionsservers nichts für Anfänger, sondern für gut ausgebildete IT-Fachleute.

Papache wrote:Vielleicht wäre es eine Anregung, eine "Enterprise"-Version von XAMPP anzubieten, mit Support (Fixes) und gegen Bezahlung. Das scheint eine Marktlücke zu sein.
Eventuell wäre aber auch eine ausführliche Dokumentation, z.B. mit Tipps, wie man einzelne Komponenten einer XAMPP-Version selbst updaten kann, sinnvoll.

Mir sind keinerlei Pläne in die Richtung bekannt und es ist auch keine Marktlücke. Zend vertreibt seine Zend Server mit Enterprise Support, wenn gewünscht. Bestimmte Einzelkomponenten wie MySQL bieten Enterprise Support von sich aus. Und es gibt genug Anbieter von Managed Server die einem Enterprise Support Stack nahe kommen.

Letztendlich habe ich soetwas eh nicht zu entscheiden. Ich moderiere nur dieses Forum hier. Ich stehe in keinerlei Beziehung zu den XAMPP Entwicklern oder Bitnami. Aber die siehst du (bis auf Beltran) auch quasi nie hier im Forum.

Papache wrote:Natürlich ist es für die "Macher" das einfachste, zu sagen "ist nur für Testsysteme gedacht" und so Probleme einfach an sich abgleiten zu lassen.
Verständlich, wenn man seine Freizeit gratis in ein "Hobbyprojekt" investiert.

Es geht nicht darum das Problem an sich abgleiten zu lassen, sondern die Komplexitätsstufe zu minimieren. Du kannst es gerne besser machen, dich hier aktiv Engagieren und Anleitungen zur Verfügung stellen, die von den jetzigen Moderatoren nicht unterstützt werden. Hier wird Hilfe gerne gesehen.
Ich verbringe hier meine Freizeit um Probleme von anderen zu lösen und tue dies zu meinen ganz eigenen Bedingungen. Ich habe gewisse Ansichten und folge einer Philosophie. Die muss nicht jedem Gefallen.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8286
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Xampp Openssl Schwachstelle

Postby Altrea » 09. April 2014 20:25

PeterbusUnum wrote:@Altrea mir ist absolut klar, dass XAMPP nur für eine Testumgebung gedacht ist. Dennoch ist die Art und Weise deiner Antwort ein klein wenig enttäuschend und irritierend.

Es steht dir frei etwas enttäuschend oder irritierend zu finden. Damit habe ich kein Problem.

PeterbusUnum wrote:Immerhin enthält die aktuellste Distribution eine bekannte Sicherheitslücke. Selbst, wenn es beim normalen Einsatzzweck mehr oder weniger egal ist, sollte doch daran gelegen sein nichts anzubieten, das derartig eklatante Lücken beinhaltet.

Wenn du dir die Changelogs der einzelnen Komponenten mal genauer ansiehst, wirst du feststellen dass nahezu jede Version kritische Sicherheitslücken schließt. Dass dies nun eine besonders große für Produktivserver ist, sei es drum. XAMPP wird supported als Stack mit den Versionen die in diesem Stack mitgeliefert werden. Ein Austausch eines der Einzelkomponenten ist nicht vorgesehen, wenn auch nicht unmöglich. Und irgendwann wird der Stack aktualisiert und gut ist.
Du kannst diesen Service hier gerne anbieten, wenn du magst - Anleitungen schreiben wie man diese oder jene Einzelkomponente updaten kann. Aber ich biete ihn nicht.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8286
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Xampp Openssl Schwachstelle

Postby Papache » 10. April 2014 05:59

http://sourceforge.net/projects/xampp/files/security/2014-04%20Heartbleed/
Papache
 
Posts: 5
Joined: 09. April 2014 08:45
Operating System: Linux

Re: Xampp Openssl Schwachstelle

Postby Beltran » 10. April 2014 10:33

We are currently working on it. We will release new versions fixed and patches for previous installations as soon as possible.
User avatar
Beltran
Power-User
 
Posts: 108
Joined: 22. March 2013 12:29
Operating System: Windows, Linux, OS X

Re: Xampp Openssl Schwachstelle

Postby Fabienne » 12. April 2014 15:32

@Papache
@PeterbusUnum

XAMPP ist ganz klar als Testumgebung vorgesehen. In dieser Form gebraucht, besteht absolut kein Sicherheitsproblem.
Ihr könnt auch nicht ein 100kg an eine Stecknadel hängen und dann beim Hersteller der Nadel reklamieren dass diese für diesen Einsatz nicht geeignet ist.
Moral der Geschichte: Für alles das ihr ausserhalb der vorgesehen Anwendung/Eignung verwendet tragt ihr auch selbst die Verantwortung/seid selber Schuld bei einem Problem.


Fabienne
Fabienne
 
Posts: 2
Joined: 12. April 2014 15:24
Operating System: Windows 7

Re: Xampp Openssl Schwachstelle

Postby rosemeyer2 » 21. April 2014 10:27

Inzwischen gibt es ja einen XAMPP Fix mit zwei dll und einer exe Dateien. Allerdings startet mein Apache im Anschluss nicht mehr mit dem Hinweis
Code: Select all
httpd: Syntax error on line 163 of C:/xampp/apache/conf/httpd.conf: Cannot load
modules/mod_ssl.so into server: Das angegebene Modul wurde nicht gefunden.


Fehlt in der Patchdatei noch eine neue Version von mod_ssl.so?

Gleiches passiert, wenn ich die Dateien direkt von der ApacheLounge herunterlade.
rosemeyer2
 
Posts: 15
Joined: 18. April 2006 14:43


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 12 guests