problem mit OpenSSL 1.0.2g update

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

problem mit OpenSSL 1.0.2g update

Postby apatsche » 07. March 2016 20:20

Ich habe versucht manuell das OpenSSL 1.0.2g update aufzuspielen und erhalte jetzt bei jedem start von apache die fehlermeldung:
httpd.exe - Ordnungszahl nicht gefunden
Die Ordnungszahl 115 wurde in der DLL "SSLEAY32.dll" nicht gefunden.

(xampp/apache läuft dann zwar trotzdem weiter, aber ich bin mir nicht sicher ob openSSL sicher & ordnungsgemäß funktioniert und genutzt werden kann)

Ich nutzte xampp: 5.6.19 / PHP 5.6.19 und habe die win32 openSSL 1.0.2g binaries geladen und libeay32.dll, ssleay32.dll sowie openssl.exe in den apache/bin ordner kopiert und die alten ersetzt.
das hat bisher immer funktioniert, so klappte auch beispielsweise das openSSL 1.0.2d -> 1.0.2f upgrade kürzlich. nur beim -> 1.0.2g update kommt nun diese Fehlermeldung.

Wer kann mir mehr über diesen Fehler sagen oder weiß gar eine Lösung?
apatsche
 
Posts: 7
Joined: 22. August 2014 13:00
Operating System: Win

Re: problem mit OpenSSL 1.0.2g update

Postby Nobbie » 08. March 2016 13:14

Der Fehler bedeutet einen Querstand von httpd.exe und dieser DLL, da wird eine Funkion angesprochen (das geschieht über Nummern, sog. Ordinals), die sich aber nicht in der DLL SSLEAY32.DLL befindet.

Ursachen:

a) entweder befindet sich noch irgendwo einen alte Version dieser DLL, welche immer noch geladen wird. Das kann in einem der system-Ordner sein (c:/windows/system32 beispielsweise), oder im sog. "DLL Cache", der wurde mit Windows7 in den wenig sagendenden Ordner c:/windows/winsxs verlagert, oder ggf. auch irgendwo im Xampp Ordner. Such da mal alles ab und lösche alles, was Du findest, anschließend musst Du neu booten.

b) oder die DLL ist zwar die richtige und es wird auch die richtige geladen, aber es gibt dennoch einen Querstand, weswegen die Ordinal nicht gefunden wird. So ein Problem wäre unlösbar für Dich.

Wenn es darauf hinausläuft, dass Du es nicht lösen kannst, musst Du eben wieder einen Schritt zurück, ich sehe auch eigentlich keine Notwendigkeit, unter Xampp mit dem neuesten Stand OpenSSL zu entwickeln. Selbst ein Fehler wäre ja eigentlich keine Sicherheitsmanko, da man auf dem privaten Desktop oder Laptop entwickelt.

Insgesamt es ohnehin kein Xampp Problem, die von Xampp installierten Komponenten werden erfolgreich geladen und einzelne User Updates sind in Xampp im Prinzip nicht vorgesehen, das ist eben ein systemischer Nachteil von Xampp und der Preis für die ansonsten simple Installation eines komplexen Server Produkts.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: problem mit OpenSSL 1.0.2g update

Postby apatsche » 08. March 2016 19:01

Vielen Dank für die Auskunft!
Inzwischen bin ich selbst schlauer geworden.
Nach einigen Stunden Trial & Error habe ich gemerkt, dass es mit einer frischen aktuellen xampp installation + manuellen openSSL 1.0.2g version funktioniert.
Zunächst vermutete ich settings in der ssl.conf die nun nicht mehr funktionierten mit 1.0.2g, da es selbst mit aktualisierten apache-bins nicht funktionierte. Aber es stellte sich heraus, dass in diesem Fall noch andere Dateien einer älteren xampp installation vorhanden waren, die dann diesen Fehler offensichtlich auslösten.
Ich habe dann schlicht mein xampp test projekt von grund auf erneuert/upgedated und nun funktioniert auch wieder die aktuelle openssl version ohne fehler.

Vielleicht noch ein gedanke zur Sicherheit in XAMPP.
Mir ist klar das XAMPP im Grunde für die Entwicklung ausgelegt ist in der man auch viel freiraum zum experimentieren braucht und sicherheitsfeatures einer liveumgebung eher hinderlich oder wenig relevant sind. Aber man kann die configs allesamt überarbeiten und erhält so ein relativ sicheres server paket, das zumindest in einem Schwung installiert werden kann. Gerade wenn man sich jedoch mal mit der Entwicklung sicherheitsrelevanter Tests beschäftigt ist man oft auf die aktuellsten patches der Libraries angewiesen.
An dieses Stelle muss ich dann auch mal kritik an XAMPP verlauten lassen, denn gerade was die updates der OpenSSL libraries angeht (die ja gefühlt jede Woche neue lücken ans Tageslicht bringen), werden die XAMPP pakete viel zu selten aktualisiert. Da ist die Konkurrenz einen Schritt voraus.
apatsche
 
Posts: 7
Joined: 22. August 2014 13:00
Operating System: Win

Re: problem mit OpenSSL 1.0.2g update

Postby WilliL » 08. March 2016 20:17

apatsche wrote:An dieses Stelle muss ich dann auch mal kritik an XAMPP verlauten lassen, denn gerade was die updates der OpenSSL libraries angeht (die ja gefühlt jede Woche neue lücken ans Tageslicht bringen), werden die XAMPP pakete viel zu selten aktualisiert. Da ist die Konkurrenz einen Schritt voraus.

Darf ich Neugierde halber fragen, wer als Konkurenz gemeint ist?
Willi
WilliL
 
Posts: 661
Joined: 08. January 2010 10:54
Operating System: Win7Home Prem 64 SP1

Re: problem mit OpenSSL 1.0.2g update

Postby Nobbie » 08. March 2016 20:23

apatsche wrote:An dieses Stelle muss ich dann auch mal kritik an XAMPP verlauten lassen, denn gerade was die updates der OpenSSL libraries angeht (die ja gefühlt jede Woche neue lücken ans Tageslicht bringen), werden die XAMPP pakete viel zu selten aktualisiert. Da ist die Konkurrenz einen Schritt voraus.


Das ist eben die Frage des Anspruchs, Xampp ist eine Entwicklungsumgebung, keine Produktionsumgebung. Da sind aktuelle SSL Versionen nur von geringem Wert und insgesamt ist das die bekannte Schwäche von Xampp, dass einzelne Komponenten nur schlecht bis gar nicht auzutauschen sind.

WilliL wrote:Darf ich Neugierde halber fragen, wer als Konkurenz gemeint ist?


Da schließ ich mich mal an. Letztendlich bin ich auch vollkommen unvoreingenommen, wenn andere Distributionen da so überlegen sind, dann sollte man die auch enfach benutzen.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: problem mit OpenSSL 1.0.2g update

Postby Altrea » 09. March 2016 00:58

Hallo,

apatsche wrote:Aber man kann die configs allesamt überarbeiten und erhält so ein relativ sicheres server paket, das zumindest in einem Schwung installiert werden kann.

Mach doch mal einen konkreten Vorschlag für eine in deinen Augen überarbeitete config. Bitnami hat sich bisher immer relativ offen gegenüber Änderungswünschen aus der Community gezeigt, wenn der Aufwand nicht zu groß ist.

apatsche wrote:Gerade wenn man sich jedoch mal mit der Entwicklung sicherheitsrelevanter Tests beschäftigt ist man oft auf die aktuellsten patches der Libraries angewiesen.

Wenn man ein kostenloses Bundle wie XAMPP anbietet muss man notgedrungen immer Kompromisse eingehen. Bitnami entwickelt, veröffentlicht und betreut einen ganzen Haufen solcher Bundles. In diesem Kontext ist es gerade noch möglich und zumutbar relativ regelmäßig neue XAMPP Versionen mit aktualisierten Apache, PHP, MariaDB Versionen zu veröffentlichen. Hierbei stützt sich XAMPP auf anderen etablierten Bundles und Kompilationen wie die Apache Kompilate von Apachelounge (in der Regel mitsamt OpenSSL) als auch den offiziellen Releases von PHP seitens php.net. Doch das kann man natürlich nicht vergleichen mit einem einzelnen Entwickler oder Entwicklerteam, dass die volle Aufmerksamkeit und Herzblut in sein eigenes Projekt steckt, Apache und PHP inklusive eigener Module selbst so spezifisch wie möglich kompiliert.

Du als ITler bist immer in der Lage deine eigenen Anforderungen einschätzen zu müssen und diese mit bestehenden Produkten auf dem Markt zu vergleichen. XAMPP kann und möchte garnicht alle Anforderungen erfüllen. Je spezifischer die Anforderung ist (die Entwicklung sicherheitsrelevanter Tests ist schon sehr spezifisch und fernab des Fokus den XAMPP sich setzt) desto wahrscheinlicher und effizienter ist es, dass du dir selbst deine Entwicklungsumgebung zusammenbaust.

apatsche wrote:An dieses Stelle muss ich dann auch mal kritik an XAMPP verlauten lassen, denn gerade was die updates der OpenSSL libraries angeht (die ja gefühlt jede Woche neue lücken ans Tageslicht bringen), werden die XAMPP pakete viel zu selten aktualisiert. Da ist die Konkurrenz einen Schritt voraus.

Wie Nobbie schon sagt, wenn ein anderes Bundle hier deutlich besser passt als XAMPP, setze dieses doch einfach ein. Das wäre der Weg des geringsten Widerstandes.
Es liegt in der Natur der Sache, dass Sicherheitsrelevante Module von Sicherheitsforschern, Entwicklern und Angreifern viel häufiger auf Sicherheitslücken abgeklopft werden als andere, erst Recht wenn man bei einer gefundenen bisher unbekannten Lücke sehr viele der online Verfügbaren Server kompromitieren kann. Doch Sicherheitslücke hört sich immer so drastisch an. Gerade in Firmenumgebungen wo sehr viel wert auf automatisierte Tests gelegt wird, werden gefundene Probleme meistens nur blind hingenommen und nicht geprüft, welche Auswirkung eine gefundene Sicherheitslücke wirklich haben kann. Eine Sicherheitssoftware kann nicht wissen, ob eine Lücke für die Umgebung ein Problem darstellt oder nicht. Daher muss solch eine Sicherheitslücke immer in den richtigen Kontext gesetzt werden.
Eine Sicherheitslücke in OpenSSL hat in den meisten Fällen mindestens eine von zwei Auswirkungen: Bisher verschlüsselter SSL Transfer ist nichtmehr verschlüsselt und kann somit mitgelesen werden, oder die Stabilität des Apache Servers selbst ist durch Abstürze oder einfache DOS Angriffe gefährdet. Beides sollte bei einem Testsystem ein deutlich geringeres Risiko darstellen als wenn der Server Online verfügbar ist.
Dann kommt noch hinzu, dass der Personenkreis mit potenziell krimineller Energie in deinem Heimnetzwerk (oder einem Firmen-Intranet, der selbst schon garnicht die angestrebte Personengruppe von XAMPP darstellt) deutlich kleiner ist als im öffentlichen WWW. Sollten sich in deinem Netzwerk solche Personen befinden, die deine Test-/-Server angreifen hast du eh ein ganz anderes Sicherheitsproblem, dem man auch anders begegnen sollte.

Zusammengefasst kann man sagen ist der Druck auf Seiten von XAMPP tagesaktuell Patches Bereitzustellen nicht existent, da in der von XAMPP vorgesehenen Einsatzumgebung:
  • Sicherheitslücken keine bis nur sehr geringe Auswirkungen haben
  • der Personenkreis solche Lücken zu kennen und auszunutzen nahe gegen 0 geht
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8298
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: problem mit OpenSSL 1.0.2g update

Postby apatsche » 09. March 2016 13:41

Danke euch nochmal für das ausführliche Feedback.
Wenn ich gewusst hätte, dass meine Kritik so große Wogen schlägt, hätte ich sie im nachhinein dezenter formuliert, sorry! Denn es ist alles halb so dramatisch wie es sich wohl anhörte und es wurde da wohl mehr hineininterpretiert als Sache ist.

Ich bin gerade kurz angebunden, möchte aber auf gesagtes noch kurz eingehen.
Mit Konkurrenz meinte ich andere apache windows-binaries distributoren, wie exemplarisch z.B. die von Apache Haus. Natürlich ersetzt das nicht den Umfang von XAMPP mit MPP darin und ist insofern keine direkte konkurrenz. Für meinen test lag das Augenmerk jedoch vorwiegend auf Apache mit ssl-libs und was läge näher XAMPP auch dafür zu nutzen, wenn man es schon seit geraumer zeit nutzt und gewohnt ist (zumal das mit manuellen eigenen updates/anpassungen bisher rel. gut funktionierte - und wie jetzt gesehen - doch auch noch tut).
Vielleicht wäre die Kritik besser formuliert gewesen wenn man die Aktualität der libs als nice-to-have deklariert. Also, XAMPP erhebt zwar keinen Anspruch darauf, aber es wäre "nice-to-have".
Klar kann ich hergehen und mir meine Testumgebung von grund auf selbst zusammenstellen. Aber auch hier wählt man gerne den weg des geringsten Widerstandes (Aufwandes). Denn xampp liefert bequem ein rundes paket das nur von den configs her individuell angepasst werden muss. Damit ist der Zeitaufwand letztendlich geringer als wenn man alles von Grund auf zusammenstellt.

Das ursprüngliche Problem hat sich aber erledigt, denn es ist ja auch weiterhin möglich xampp manuell aktualisierte openssl libs aufzuspielen. Es wäre zu gar keinem Problem gekommen, wenn nicht fälschlicherweise noch ältere XAMPP bins/libs in meiner testumgebung gelegen wären.

TL;DR: Das Problem war selbstgemacht. Alternativ kann man für solche tests natürlich immer individuell Testumgebungen von Grund auf erstellen, das ist jedoch mit mehr Zeitaufwand verbunden, daher wäre es schlicht "nice-to-have" wenn man gleich bequem mit xampp die aktuellsten libs bekommen könnte. Da man sie jedoch weiterhin manuell updaten kann, ist dies auch nicht weiter tragisch.
apatsche
 
Posts: 7
Joined: 22. August 2014 13:00
Operating System: Win

Re: problem mit OpenSSL 1.0.2g update

Postby Nobbie » 09. March 2016 14:04

apatsche wrote:Also, XAMPP erhebt zwar keinen Anspruch darauf, aber es wäre "nice-to-have".


Ne, auch das eigentlich nicht. Xampp ist eine Enwicklungsumgebung, keine Produktionsumgebung. Es ändert sich für die Produkte, die man mit Xampp lokal entwickelt, rein überhaupt gar nichts(!), wenn ich eine aktualisierte OpenSSL installiere, weil es da für irgendeine Verletzbarkeit einen HotFix gibt. Das ist für eine Infrastruktur im Onlinebetrieb vielleicht interessant, aber doch nicht für einen Entwickler und seine PHP Scripts o.ä.?

Welchen Nutzen hat ein OpenSSL Update für Xampp? Ganz ehrliche und konsequente Antwort: gar keinen. Und weil es eben so ist, ist da auch kein "nice to have". Man kann es nicht einmal irgendwie einsetzen (außer vielleicht in irgendeinem gezielten synthetischen Test um zu checken, wie sich die Infrastruktur auf meinem lokalen PC verhält, aber das hat ja nun wirklich allenfalls akademischen Charakter, da ist wirklich nichts, was man gebrauchen kann).

Und es ist eben die Stärke auch die Schwäche von Xampp, nämlich die Abhängigkeiten der Werkzeuge und die abgestimmten Konfigurationen, weswegen Xampp sich so großer Beliebtheit erfreut. Das ist eben nicht nur ein simpler Apache und den Rest muss man selbst hinbekommen, es ist eine vollkommene Serverumgebung, die eine einfach zu installierende Entwicklungsumgebung zur Verfügung stellt. Aber in diesem Umfeld stehen Aufwand und Nutzen solcher singulären Upgrades in überhaupt keinem Verhältnis zueinander, mehr noch, wie sich es sich ja darstellt, ist der Nutzen dieses speziellen Upgrades de fakto Null. Es ändert sich für ein Projekt und die zu entwickelnden Komponenten rein gar nichts.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: problem mit OpenSSL 1.0.2g update

Postby apatsche » 09. March 2016 15:21

Nobbie wrote:Man kann es nicht einmal irgendwie einsetzen (außer vielleicht in irgendeinem gezielten synthetischen Test um zu checken, wie sich die Infrastruktur auf meinem lokalen PC verhält, aber das hat ja nun wirklich allenfalls akademischen Charakter, da ist wirklich nichts, was man gebrauchen kann).


Ironischer Weise ging es jedoch genau um diesen akademischen Ansatz in meinem konkreten Fall. Sogesehen habe ich XAMPP von seinem vorhergesehen Einsatz zweckentfremdet nur eine Entwicklungsumgebung für php Skripte oder desgleichen zu sein und ihn für openssl 1.0.2f/g sicherheitstests unter windows verwendet. Einfach weil das gewollte setup so schneller umzusetzen war. Ich bin definitv auch nicht der einzige der XAMPP für weitere Zwecke verwendet als ursprünglich von XAMPP vorgesehen, einfach weil es möglich und praktikabel ist. Support erwarte ich dafür natürlich auch nicht.
Also lasst am besten einfach alles so wie es ist, wenn es dem eigentlichen zweck von XAMPP nicht weiter dienlich ist diese libs aktuell zu halten und es unnötigen Aufwand bedeutet. Man muss aber auch sagen, dass es dem XAMPP projekt abgesehen vom Aufwand auch in keiner weise schaden würde, wenn die aktuellen libs im dir liegen würden. php skripte könnten deswegen genauso entwickelt werden. Aber so manche zweckentfremdung von XAMPP würde sich vielleicht freuen :)

Nichts für ungut :)
apatsche
 
Posts: 7
Joined: 22. August 2014 13:00
Operating System: Win

Re: problem mit OpenSSL 1.0.2g update

Postby Nobbie » 09. March 2016 21:38

apatsche wrote:Ironischer Weise ging es jedoch genau um diesen akademischen Ansatz in meinem konkreten Fall.


Das ist zumindest auch für mich mal interessant, stelle uns doch mal den "kasus knaksus" zur Verfügung, welches Problem wurde mit dem Update behoben und wie sieht ein akademisches Testscenario dazu aus? Oft sind nämlich nicht einmal praktische Ansätze vorhanden, wie vermeintliche SIcherheitslücken in der Praxis ausgenutzt werden können. Daher mein Interesse.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 10 guests