Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Netzwerke (https://www.delphipraxis.net/14-netzwerke/)
-   -   Indy + OpenSSL 1.1.1l (https://www.delphipraxis.net/208637-indy-openssl-1-1-1l.html)

tewes 31. Aug 2021 14:52

Indy + OpenSSL 1.1.1l
 
Hallo zusammen,

aufgrund dieser Meldung
https://www.heise.de/news/OpenSSL-Sc...eitrag.beitrag

ist es unserem IT-Sicherheitsbeauftragter wichtig, möglichst schnell umzusteigen.

Soweit ich es verstanden habe kann Indy aus Delphi 10.2.2 aktuell "nur" mit der Versionschiene 1.0.2x und den Dateien libeay32.dll +
ssleay32.dll arbeiten?
Die gepatchte Version 1.0.2za liegt hinter einer Bezahlschranke:
https://www.openssl.org/support/contracts.html

Wie ist das bei der neuen Delphi Version 11? Kommt die etwa mit "unsicherem" Indy?

Wie geht ihr damit um?

AWeber 31. Aug 2021 21:20

AW: Indy + OpenSSL 1.1.1l
 
Hallo,
also ich erwarte da von EMBA ehrlich gesagt nicht viel... es ist wie bei vielen Projekten sobald EMBA seine Finger danach ausstreckt...

Also ich habe mir auf meinem 10.4.1 das Indy mit dem hier im Forum vorgestellten neuen Openssl IOHandler kompiliert und kann so die 1.1.1 Versionen nutzen nach anfänglichen kleineren Hürden klappt das auch recht gut..
Es ist keine Hexerei.

André

gmc616 2. Sep 2021 12:50

AW: Indy + OpenSSL 1.1.1l
 
Nur damit ich es auch verstehe ...
Das Sicherheitsproblem steckt doch nicht in den Indys. Es steckt im OpenSSL.

Als das letzte mal (so weit ich weiß) ein Sicherheitsproblem im OpennSSL aufgetaucht war, hatte es genügt einfach die libeay32.dll + ssleay32.dll durch eine aktualisierte Version auszutauschen und alles war palatti.

tewes 2. Sep 2021 16:04

AW: Indy + OpenSSL 1.1.1l
 
Zitat:

Zitat von gmc616 (Beitrag 1494063)
Nur damit ich es auch verstehe ...
Das Sicherheitsproblem steckt doch nicht in den Indys. Es steckt im OpenSSL.

Als das letzte mal (so weit ich weiß) ein Sicherheitsproblem im OpennSSL aufgetaucht war, hatte es genügt einfach die libeay32.dll + ssleay32.dll durch eine aktualisierte Version auszutauschen und alles war palatti.

Stimmt bis Version 1.0.2u - Dieser Entwicklungszweig wurde eingestellt.

Aktuelle OpenSSL-Versionen (ab 1.1.0) enthalten diese DLLs nicht mehr. "Theoretisch" sollte dies gelten(Die Namensänderung wird nicht alles sein):
libeay32.dll -> libcrypto.dll
ssleay32.dll -> libssl.dll
(https://stackoverflow.com/questions/...enssl-on-windo)

Die "Indys" müssten an das neue Datenmodell(?) angepasst werden.
mezen hat hierzu vorgearbeitet (habe ich aber noch probiert):
https://www.delphipraxis.net/204185-...tls-1-3-a.html

Ganz optimistisch hatte ich gehofft, dass Indy angepasst wird und Embarcadero dies in Version 11 übernimmt bzw. einen Patch für frühere Versionen bereitstellt.
Ist schließlich sicherheitsrelevant...


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:09 Uhr.

Powered by vBulletin® Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf