forum.opennet.ru

"Представлен эксплойт, способный блокировать работу любого SS..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для контроля за появлением новых сообщений - перед выходом жмите "Пометить прочитанным".

. "Представлен эксплойт, способный блокировать работу любого SS..."	+/–
Сообщение от Аноним (-), 28-Окт-11, 16:17
> через ликвидацию бэкдора в OpenSSL. SSL вообще сплошной бекдор: любой CA может выписать сертификат на что угодно, в том числе и в пику другому CA. Чего ликвидировать предлагается?!
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Представлен эксплойт, способный блокировать работу любого SS..., opennews, 26-Окт-11, 15:36 [смотреть все]

Нда печально , Александр, 26-Окт-11, 15:36 (1) //
- А где этот ссл отдельно применяется К примеру в любом https и ftps можно левой, anonymous, 26-Окт-11, 15:52 (6) //
  - ногой сделать лимит на конекты вообще и с одного ип а еще можно иптаблесо, anonymous, 26-Окт-11, 15:54 (8) //
    - Ну так это на раз обходится пускаем атаку через torify или socksify и разворачи, Аноним, 26-Окт-11, 16:07 (14)
      - Айпишники выходных узлов тора не забанены только у ленивого админа Я, например,, Аноним, 26-Окт-11, 16:10 (16)
        
        Ага, пц как трудно Вот только что для прикола нашел гуглингом 5 действующик сок, Аноним, 26-Окт-11, 16:59 (30)
        
        Думаю, админу, чтобы забанить их, понадобится куда меньше времени и усилий, чем , Аноним, 26-Окт-11, 19:13 (67)
        
        интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy , 8, 27-Окт-11, 00:54 (100)
        
        Гораздо веселее устроить битву каждый против всех - интересное зрелище ликви, Аноним, 27-Окт-11, 01:36 (104)
        Капитан информирует прокси пригодные для SSL HTTP 1 1 CONNECT, SOCKS 4 5 вооб, Аноним, 27-Окт-11, 11:30 (124)
        
        На моей памяти, самый упертый админ пытавшийся решать вопросы маханием банхаммер, Аноним, 27-Окт-11, 15:52 (138)
        
        А в чем смысл страдать такой фигней Tor, в основном, используют вполне нормальны, Аноним, 26-Окт-11, 21:57 (83)
        
        путем забана всего тора При этом приходится жертвовать интересами параноико, Аноним, 27-Окт-11, 00:43 (98)
        
        Ничем не оправданный онанизм для тех кто атакует есть тысячи и тысячи открытых , Аноним, 27-Окт-11, 13:06 (127)
        а если закрыть вообще все порты -- то никто и никогда не нагадит подумай над эт, arisu, 30-Окт-11, 12:49 (162)
        
        Сплёвываем и стучим по дереву, чтоб не обнаружилась уязвимость в закрывальщике п, Andrey Mitrofanov, 31-Окт-11, 11:09 (165)
        
        т-с-с-с это же был второй секретный совет за деньги весь гешефт мне попортил , arisu, 31-Окт-11, 11:20 (166)
        
        Полазить немного с TOR а, подождать пока поглючит, IP несколько раз сменится И , Zenitur, 26-Окт-11, 22:21 (86)
    - для ссш эффективной защитой является разве что порткнокинг, но если для админист, Аноним, 26-Окт-11, 17:47 (44)
      - так если об этом будут знать клиенты то и злоумышленники тоже будут знать и knoc, Одмин, 26-Окт-11, 17:59 (49)
    - TCP-соединение требуется только одно, в рамках которого будет инициировано неско, alikd, 26-Окт-11, 18:04 (53)
      - А вы-то ее внимательно читали, особенно последний абзац , Аноним, 26-Окт-11, 19:09 (66)
        
        Последний абзац относится только к случаю, когда на сервере отключили SSL-Renego, Аноним, 26-Окт-11, 19:49 (73)
        
        В вашей конторе - может быть В нашей - выключен на 100 систем Работа такая , Аноним, 27-Окт-11, 00:40 (97)
        
        Что это за контора в которой используют на серверах самосборные запатченные верс, Аноним, 27-Окт-11, 10:18 (117)
        
        Выдуманная, очевидно же , Аноним, 27-Окт-11, 16:25 (139)
    - Если в рамках одного соединения, то попадаем на анализ пакетов Меньше одного к, Michael Shigorin, 27-Окт-11, 13:12 (128)
А SSL-Renegotiation ещё не выкинули из-за какой-то там уязвимости , Аноним, 26-Окт-11, 15:46 (5)
Практически все нормальные сервера регулируют количество подключений И уж тем б, Андрей, 26-Окт-11, 15:58 (9) //
- Один адрес несложно превратить в легион, через тор или проксики, показав шиш в п, Аноним, 26-Окт-11, 16:16 (19) //
  - выше уже отписали по поводу торов и проксей для практической реализации атаки, , rain87, 26-Окт-11, 17:00 (32) //
    - Да нахрен там ботнет, для столь низкоинтенсивной атаки хватит бесплатных проксик, Аноним, 26-Окт-11, 17:24 (41)
      - Ну наберите хотя бы тыщи три, и запостите сюда А пока это пустая трепотня , Аноним, 26-Окт-11, 18:21 (60)
        
        Не, давайте вы лучше пианино для меня полдня потаскаете Если мне понравится как, Аноним, 28-Окт-11, 15:28 (150)
Нюню Пойдите, свалите https gmail com Ну хоть все вместе Это не эксплоит, а, mikevmk, 26-Окт-11, 16:01 (10) //
- Может, они знали , Аноним, 26-Окт-11, 16:42 (26) //
  - Вообще-то THC одна из известнейших и авторитетнейших хакерских групп, в лучшем с, Аноним, 26-Окт-11, 17:01 (33)
- нубло уверено, видимо, что гмыло всё на одном сервере крутится , arisu, 30-Окт-11, 12:52 (163)
iptables hashlimit ctstate NEW и connlimit легко зарежут такое счастье , Аноним, 26-Окт-11, 16:03 (12) //
- ну как бы всех вполне устроит если вы сами пошлете ваших юзеров после того как а, Аноним, 26-Окт-11, 16:32 (24) //
  - Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплат, Аноним, 26-Окт-11, 18:20 (59) //
    - Ну, с IPv6 дела попроще обстоят И я, как и некоторые мои знакомые уже используе, Xaionaro, 26-Окт-11, 21:08 (79)
    - Ну вы то их получаете в постоянное пользование, а в случае проксиков и торов они, Аноним, 28-Окт-11, 15:30 (151)
Понравилось 127 0 0 1 и появление в первых же комментариях желающих это запустит, AZ_from_Belarus, 26-Окт-11, 16:06 (13)
а что насчет TLS , koloboid, 26-Окт-11, 16:14 (18)
бред iptables и прочие отменили , Аноним, 26-Окт-11, 16:17 (20) //
- не отменили, но и NAT тоже , koloboid, 26-Окт-11, 16:26 (21)
- Ну будет таблес резать при атаке как атакующего, так и честных пользователей По, Аноним, 26-Окт-11, 16:47 (27) //
  - Тор банится легко и изящно, анонимные прокси - по мере их выявления действитель, Аноним, 26-Окт-11, 18:11 (54) //
    - Покажи, как побанить все входные ноды Тор легко и изящно И, кстати, про анонимны, Аноним, 27-Окт-11, 11:06 (122)
Таким ломовым способом можно любой протокол прикладного уровня завалить На како, СуперАноним, 26-Окт-11, 16:29 (22) //
- Все так Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам , Аноним, 26-Окт-11, 17:35 (42) //
  - http c2 com cgi wiki DontRepeatYourself , Michael Shigorin, 27-Окт-11, 13:38 (129)
Хм, я такой експлоет уже много лет пользую против конкурентов Просто потому ч, Жорж, 26-Окт-11, 16:39 (25) //
- я даже могу сказать где вы его купили, фклфт, 26-Окт-11, 17:14 (36)
- Нехороший Вы человек Играть нужно по-честному , Xaionaro, 26-Окт-11, 21:11 (80) //
  - В бизнесе понятия честность вообще не существуетP S я раньше тоже хотел все по , фклфт, 27-Окт-11, 07:21 (108) //
    - Нормальному человеку на деструктив вообще время жалко тратить Существует, хотя, Michael Shigorin, 27-Окт-11, 13:43 (130)
    - Да, а если продолжить эту логику, тогда для конкурента пристрелить вас - наиболе, Аноним, 28-Окт-11, 16:54 (157)
для самых умных хакеров , Аноним, 26-Окт-11, 16:52 (28)
Оказывается, то, что мне и многим моим коллегам было известно уже много лет - то, maxkit, 26-Окт-11, 17:00 (31) //
- про SSL , demimurych, 26-Окт-11, 17:16 (37)
- Вы и ваши коллеги явно не в курсе, что для handshake не нужно создавать новое со, Аноним, 26-Окт-11, 17:23 (40) //
  - И что, неужели не существует никаких способов отменить это D, Аноним, 26-Окт-11, 18:13 (55)
- ОЙ, пафос то какой я прям испугался, Аноним, 26-Окт-11, 17:57 (47)
Бред, у меня везде стоит ограничение на количество одновременных подключений на , arcade, 26-Окт-11, 17:02 (34) //
- И как вам это поможет, если для handshake не создаётся новых соединений , Аноним, 26-Окт-11, 17:22 (39) //
  - А вот Renegotiation отключить - и уже нужно новое соединение для handshake , anonymous, 26-Окт-11, 17:53 (45)
  - Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или умишк, Аноним, 26-Окт-11, 17:54 (46) //
    - А еще они не подозревают, что такое renegotiation и что его можно отключить D, Аноним, 26-Окт-11, 18:18 (58)
      - Команды по отключению renegotiation в Apache и nginx в студию Только, pls, без , Аноним, 26-Окт-11, 19:53 (74)
        
        Хочу поесть, но не ртом Кто уже успел получить лучики счаться, или просто держи, Аноним, 27-Окт-11, 00:32 (93)
        
        Ага и при этом жертвуют совместимостью с клиентами и рискуют пропустить обновлен, Аноним, 27-Окт-11, 10:22 (118)
        
        Возможно, местами пригодится этот тред http old nabble com TLS-renegotiation-d, Michael Shigorin, 27-Окт-11, 13:50 (131)
  - Простите мой сарказм, но что за бред, что значит не создается, пакеты, что по UD, Аноним, 26-Окт-11, 17:57 (48) //
    - На первый раз прощаю Вы знаете что такое соединение Это IP-отправителя порт-от, Аноним, 26-Окт-11, 18:04 (52)
      - Ну посмотрим, как вы это сделаете, если я renegotiation на сервере отключу P, Аноним, 26-Окт-11, 18:14 (56)
        
        в новости об этом тоже есть упоминание, Аноним, 26-Окт-11, 19:04 (63)
        
        Да я как бы довожу этот факт до сведения некоторых знатоков , потому что они-то, Аноним, 26-Окт-11, 19:07 (65)
- А у вас случайно на уровне фаерволла не стоит лимит на количество MAIL FROM п, Аноним, 26-Окт-11, 17:59 (50) //
  - Если SMTP-сервер позволяет ограничить количество писем, передаваемых в рамках од, Аноним, 26-Окт-11, 18:17 (57) //
    - Угумс, а ещё фаервол - это и ограничитель в рамках одного соединения количеств, terr0rist, 26-Окт-11, 20:55 (77)
      - Если код на уровне сервера позволяет жестко привязать эти действия к соединениям, Аноним, 27-Окт-11, 00:34 (94)
- Малаца Так и надо делать И тогда, все легитимные пользователи вашего сайта будут, Жорж, 27-Окт-11, 08:17 (110)
если у кого-то сервера в продакшн кластере можно положить такой фигней, так им и, Аноним, 26-Окт-11, 17:41 (43)
Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь сокр, AHoH, 26-Окт-11, 18:01 (51) //
- Тебе одному В моей стране блокируются многие легитимные ресурсы инета, в том чи, Аноним, 27-Окт-11, 11:09 (123)
thc-ssl-dos 207 46 232 182 2222 --acceptSSL error 12345FC SSL routines SSL23_, pavlinux, 26-Окт-11, 18:25 (61) //
- Никогда не понимал людей публично демонстрирующих собственное невежество Да, ssh, mtr, 27-Окт-11, 09:44 (112) //
  - Мне запрещено досить свой сервер , pavlinux, 28-Окт-11, 06:10 (147) //
    - Нет, просто SSL SSH, сплойт тебе честно сказал что порт куда ты сунулся - SSL, Аноним, 28-Окт-11, 15:56 (152)
Назвать новость стоило видимо Хакерская группа увеличила мощность ботнетов по з, Aleksey, 26-Окт-11, 19:17 (68)
http www links org files no-renegotiation-2 patchhttp svn resiprocate org re, pavlinux, 26-Окт-11, 19:21 (69) //
- Ага, вот почему у меня сервера на это не реагируют Хотел писать, что этот экспло, Fantomas, 27-Окт-11, 14:17 (133)
- А почему тогда в заглавии написали, что он работу любого сервака блокирует , Fantomas, 27-Окт-11, 14:20 (134)
Мне одному показалось, что кто-то хочет массово продавать коммерческий SSL Acce, анон, 26-Окт-11, 19:34 (70) //
- да---Кстати, у меня дома валяется, купленный на Ебае за 35 BCM5820 - E-Commerc, pavlinux, 26-Окт-11, 19:38 (71)
- Вы так говорите, как будто это что-то плохое У кого хватило глупости не отключ, Аноним, 26-Окт-11, 19:39 (72) //
  - Блин достали уже такие специалисты как вы, обвиняющих других в глупости, ни пони, Аноним, 26-Окт-11, 19:59 (75) //
    - Так не апачь надо патч, а OpenSSL ---Кстати, Waiting for script kiddies to piss , pavlinux, 26-Окт-11, 20:05 (76)
      - Павлин, как ты мог Там специально для скрипткиддей воткнут делэй рисующий точки, Аноним, 28-Окт-11, 16:13 (153)
        
        Надо же проверить на чём народ катает , pavlinux, 28-Окт-11, 17:35 (158)
    - Скажу по секрету отключается это не в апаче, а глобально по системе, через ликв, Аноним, 27-Окт-11, 00:36 (95)
      - Пруф - это RFC , pavlinux, 27-Окт-11, 01:24 (102)
        
        Пруф должен подтверждать RFC не подтверждает , Аноним, 27-Окт-11, 01:38 (105)
      - Мда Советую вам изучить логику согласования параметров SSL-линка, загрузив исхо, Аноним, 27-Окт-11, 10:32 (119)
      - http www stunnel org pipermail stunnel-users 2010-November 002852 htmlFYI I st, pavlinux, 28-Окт-11, 06:11 (148)
      - SSL вообще сплошной бекдор любой CA может выписать сертификат на что угодно, в , Аноним, 28-Окт-11, 16:17 (154)
попробовал на своих машинках, beam - 100 одного ядра процессора, при этом серви, Александр, 26-Окт-11, 21:03 (78) //
- спасибо а можете проверить Lighttpd спасибо, Анонимный аноним через tor, 26-Окт-11, 22:02 (84) //
  - lighttpd к сожалению не использую, так что не проверю, но думаю там тоже предусм, Александр, 26-Окт-11, 22:26 (87)
  - нащёл вот ещё и такое обсуждение http redmine lighttpd net boards 2 topics 478, Анонимный аноним через tor, 27-Окт-11, 00:16 (92)
- Прошу простить мою безграмотность, я думал, проблема упирается в реализацию SSL,, Xaionaro, 26-Окт-11, 22:04 (85)
- а попробуйте законектиться по ssh , авыа, 26-Окт-11, 22:30 (88) //
  - во блин это про ssl , авыа, 26-Окт-11, 22:32 (89)
надеюсь этот замечательный пример покажет что нЕфига делигировать на сервер кучу, Анонимный аноним через tor, 27-Окт-11, 01:09 (101) //
- Клиент пойдёт и потратит своё бабло в другом месте, ибо монополий сейчас ой как , pavlinux, 27-Окт-11, 01:26 (103) //
  - клиент в данном случае это программы типа Firefox Chromium Vasya-Pupkin-SSL-Su, Xasd, 27-Окт-11, 16:50 (143)
Этому багу сто лет в обед Он уже исправлен в nginx, по этому админы спите споко, Humka, 27-Окт-11, 01:58 (106)
Странно это все как-то как не пытался увалить свой Apache на CentOs етим експлои, Ромарио, 27-Окт-11, 02:58 (107)
А я знаю еще один способ Dos a, надо зажать кнопку F5 Думаю этот медтод не мене, Аноним, 27-Окт-11, 07:43 (109)
Ну, как вариант, берем iptables и делаем так iptables -A INPUT -p tcp -i INTERN, Feerik, 27-Окт-11, 09:41 (111) //
- Еще один чукча-писатель вылез Обсуждение новости таки прочитайте и больше так н, mtr, 27-Окт-11, 09:46 (114) //
  - Почитал, живых примеров не увидел А теперь толстячок, скажи конкретно, что тебе , Feerik, 27-Окт-11, 09:59 (115) //
    - Все просто Если ты ограничиваешь подключения с одного ip, то, к твоему сведению, Аноним, 27-Окт-11, 10:18 (116)
      - По крайней мере сервер не задосят, что уже хорошо и уже собственно решение пробл, Feerik, 27-Окт-11, 10:34 (120)
        
        Так уже надцать раз объяснили проблема не в LA на сервере, а в конечном результ, Michael Shigorin, 27-Окт-11, 14:03 (132)
        есть мнение, что проще поставить сервер в сейф, предварительно выдернув сетевые , arisu, 30-Окт-11, 13:04 (164)
    - SSL-handshake выполняется внутри уже установленного _одного_ соединения, т е но, Аноним, 27-Окт-11, 10:37 (121)
      - http httpd apache org docs 2 2 mod mod_ssl html SSLInsecureRenegotiation Direc, Feerik, 27-Окт-11, 11:36 (125)
        
        Эта настройка не отключает Renegotiation полностью, а лишь позволяет отключить в, Аноним, 27-Окт-11, 11:55 (126)
Поправьте меня, но разве нельзя ограничить ресурсы для каждого соединения прос, Kodirr, 27-Окт-11, 14:24 (135)
Все такие все специалисты, умные аж жуть Забанят, они всех нападающих по IP А б, Аноним, 27-Окт-11, 16:42 (141) //
- Точно, забанить нафиг все наты beeline, mts и megafon А то их бандвиза тоже хва, Аноним, 28-Окт-11, 16:27 (155)
Я смотрю большинство отписавшихся не осилили прочитать новость А новость вот в , Konwin, 27-Окт-11, 16:42 (142) //
- Так ты и сам не дочитал Даже при отключенном SSL-Renegotiation при множителе x1, Аноним, 27-Окт-11, 16:52 (144)
Ну, тут можно еще поковырять сами tcp пакеты на предмет большого количества SSL-, GMS, 27-Окт-11, 19:46 (145)
Лог результата работы эксплоита продолжительностью 1-2 минуты с default Limit p, coresh, 28-Окт-11, 12:14 (149) //
- THC написал годный детектор скрипткиддисов , Аноним, 28-Окт-11, 16:40 (156)
Ерунда Любой почти скрипт на сервере точно так же можно задоссить т к ресур, Аноним, 29-Окт-11, 12:53 (159) //
- А ещё, на выбор - переписать проблемную часть - включить кеширование - добавить , XoRe, 29-Окт-11, 22:55 (160)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру