Автор Тема: Heartbleed  (Прочетена 6182 пъти)

Златко

  • Участник
  • *****
  • Публикации: 2147
    • Профил
Heartbleed
« -: Apr 09, 2014, 11:43 »
Откриха опасен пробив в сигурността на Интернет трафика

Наистина ли това чудо е толкова опасно колкото го описват?  ::)
Активен

Без правила няма игра

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Heartbleed
« Отговор #1 -: Apr 09, 2014, 14:50 »
Катастрофално зле е това чудо и сега ще се наринат бая пари за ревокиране на сертификати, пачване на софтуера и издаване на нови такива при това в доста голям мащаб.
Активен

"Knowledge is power" - France is Bacon

romeo_ninov

  • Участник
  • *****
  • Публикации: 2155
    • Профил
Re: Heartbleed
« Отговор #2 -: Apr 09, 2014, 15:30 »
Катастрофално зле е това чудо и сега ще се наринат бая пари за ревокиране на сертификати, пачване на софтуера и издаване на нови такива при това в доста голям мащаб.
Ами разходите от време на всеки разумен потребител за да си смени паролите....
Активен

0x2B|~0x2B

Naka

  • Участник
  • *****
  • Публикации: 2655
    • Профил
Re: Heartbleed
« Отговор #3 -: Apr 09, 2014, 16:38 »
Днес прочетох новината..Потърсих в ЦЕНТОС и се оказа че вече има ъпдейт на openssl и го ъпдейтнах. За някакви 2-3 дена май са го пуснали.

https://www.centos.org/forums/viewtopic.php?f=9&t=45814
Цитат
So the official update is now out. Details below copied from the CentOS-Announce mailing list.

If you run `rpm -q openssl` and it reports version 1.0.1e and less than 1.0.1e-16.el6_5.4.0.1 then you are currently vulnerable to this problem. If it reports 1.0.1e-16.el6_5.4.0.1.centos then you have the temporary version issued before Redhat issued their official fix. If you have 1.0.1e-16.el6_5.7 or higher then you have the official fixed version. If you are not running the fixed version then you should update as soon as possible by running `yum update`. If no newer version is offered then you might try running `yum clean metadata` then retry. If nothing shows up still then you may need to wait for your current mirror to catch up and replicate the update.

сега имам openssl-1.0.1e-16.el6_5.7.i686.rpm
а в центос5 сериите проблема го нямало щото била стара версията- OpenSSL 0.9.8
« Последна редакция: Apr 09, 2014, 17:08 от Naka »
Активен

Perl - the only language that looks the same before and after encryption.

jet

  • Участник
  • *****
  • Публикации: 1817
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Re: Heartbleed
« Отговор #4 -: Apr 09, 2014, 20:19 »
пуснали со полезна добавка за Chrome - Chromebleed, която ти казва когато посетиш уязвим сайт.
Активен

Linux: From WTF to OMG

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Heartbleed
« Отговор #5 -: Apr 09, 2014, 21:24 »
Между другото, ъпдейтването на OpenSSL не е решение на проблема в случай че някой си е поиграл във времето преди ъпдейта. В тези до 64kb leak-ната памет спокойно може да се намира частния ключ на сървъра. Оттам (в случаят с https) ако не си конфигурирал сървъра да ползва някакъв ephemeral key exchange, всякакви предишни изслухтяни трафици и бъдещи след това могат да се декриптират тривиално (това е вградена в wireshark функционалност). Много сървъри не го правят, дори google се хвалиха че най-накрая вече го правят неотдавна, след като излязоха онези дивотии със Сноудън.

Най-добре е частният ключ да се генерира наново, оттам CSR-а и подписания от CA-то сертификат. Ако просто генерираш нов CSR със същия частен ключ и го пратиш за подписване, няма да оправиш проблема.

Та оттам, сега ще им стане забавно на authority-тата, ще имат доста работа. На админите също няма да им е много забавно :)  Бая apache инсталации с mod_ssl и бая openvpn такива има най-малкото :)
Активен

"Knowledge is power" - France is Bacon

programings

  • Участник
  • *****
  • Публикации: 181
  • Distribution: Arch Linux, BunsenLabs Linux, FreeBSD
  • Window Manager: XFCE, MATE, Openbox
    • Профил
Re: Heartbleed
« Отговор #6 -: Apr 09, 2014, 21:28 »
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Heartbleed
« Отговор #7 -: Apr 09, 2014, 22:29 »
Ехех някои хора взеха сериозно да се ебават :)




П.П оооо това не било изолирано явление, доста хора се ебават по въпроса, не знам откъде е тръгнала тая мода, пропуснал съм :)



« Последна редакция: Apr 09, 2014, 22:35 от gat3way »
Активен

"Knowledge is power" - France is Bacon

!ntel

  • Участник
  • *****
  • Публикации: 444
    • Профил
Re: Heartbleed
« Отговор #8 -: Apr 09, 2014, 23:22 »
Ей ти веднага смени подписа  [_]3
Аз вчера пратих репорт на един торент тракер и днеска гледам - "It works!" и нито следа от тракера, ама поне сървъра им вече не е пробит - ROFL ...
« Последна редакция: Apr 09, 2014, 23:28 от !ntel »
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Heartbleed
« Отговор #9 -: Apr 09, 2014, 23:24 »
Е не вчера го смених :) backinblack си тръгна и няма кого да дразня със стария :)
Активен

"Knowledge is power" - France is Bacon

programings

  • Участник
  • *****
  • Публикации: 181
  • Distribution: Arch Linux, BunsenLabs Linux, FreeBSD
  • Window Manager: XFCE, MATE, Openbox
    • Профил
Re: Heartbleed
« Отговор #10 -: Apr 09, 2014, 23:34 »
В момента в който прочетох за този бъг, моментално ми изникна асоциация с онази уязвимост в ядрото на Линукс, където на едно място в if вместо да се сравни променлива, тя се декларира, и ставаш root. Някак си толкова време е била известна (и не е толкова сложна за намиране, така като гледам), съмнително да не е била експлоатирана от разни трибуквени агенции (и не само) предвид наличните ресурси да си наемат мозъци да ровят денонощно сорс кода на всякакви софтуери, които като цяло по някакъв начин им пречат да слухтят, и изведнъж бум - новооткрита.

Странна работа, общо взето.
Активен

!ntel

  • Участник
  • *****
  • Публикации: 444
    • Профил
Re: Heartbleed
« Отговор #11 -: Apr 09, 2014, 23:37 »
Добре де, на мен ми е интересно - кое е по-вероятно:
1. Това е неволна грешка.
2. Това е много добре прикрита намеса на NSA под формата на неволна грешка.

Ето едно видео, което показва как работи експлойта: OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics
Активен

programings

  • Участник
  • *****
  • Публикации: 181
  • Distribution: Arch Linux, BunsenLabs Linux, FreeBSD
  • Window Manager: XFCE, MATE, Openbox
    • Профил
Re: Heartbleed
« Отговор #12 -: Apr 09, 2014, 23:42 »
Може и да съм си по натура конспиратор, ама след повторен прочит на този пост, все повече започвам да си мисля, че е второто.
« Последна редакция: Apr 09, 2014, 23:44 от userings »
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Heartbleed
« Отговор #13 -: Apr 09, 2014, 23:50 »
Мисля си че е по-скоро първото. Гледах точно кода, който е отговорен за това наистина е голяма мърлявщина но съм по-склонен да вярвам че е случайно, отколкото нарочно. Така или иначе не е привнесено по-късно, съществува си откакто се подържа въпросното разширение на протокола. И наистина е доста безотговорно, но си мисля, че ако трябваше да е конспирация, щеше да е по-законспирирана.

По-скоро доказва че милионите всевиждащи очи при опънсорса не са чак толкова всевиждащи :)
Активен

"Knowledge is power" - France is Bacon

!ntel

  • Участник
  • *****
  • Публикации: 444
    • Профил
Re: Heartbleed
« Отговор #14 -: Apr 09, 2014, 23:58 »
А добре де - мога ли да питам аз: Защо не се правят поне повече тестове + ревюта на подобен тип библиотеки и код свързан със сигурността?
Сега ще стане наистина грозно - има дори банки, които са засегнати от този проблем...
Трябва да прегледам нашенските банки, да видим какво им е дереджето.
Активен