The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

08.04.2014 10:49  В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленникам серверными системами.

Причиной проблемы является отсутствие проверки выхода за допустимые границы в коде реализации TLS-расширения heartbeat (RFC 6520), что позволяет инициировать отправку удалённой стороне до 64Кб данных из области за границей текущего буфера. При этом возможна отправка произвольных 64Кб данных, а не только примыкающих к границе буфера (путем повторения запросов атакующий может шаг за шагом прочитать всё содержимое памяти процесса). По некоторым оценкам проблема охватывает до половины поддерживающих защищённое соединение серверных систем в Сети, включая собранные с OpenSSL 1.0.1 web-серверы (Apache httpd, nginx), почтовые серверы, XMPP-серверы, VPN-системы, шлюзы и скрытые сервисы анонимной сети Tor.

Связанная с атакой активность не проявляется в серверных логах, что затрудняет выявление фактов эксплуатации уязвимости. Возможность создания рабочего эксплоита для извлечения ключей безопасности без оставления следов в логе подтверждена исследователями из компаний Google и Codenomicon, выявивших уязвимость. В связи с тем, что проблема присутствует в коде OpenSSL уже более двух лет и, при этом, невозможно отследить по логу уже совершённые атаки, помимо установки обновления пользователям рекомендуется поменять SSL-сертификаты, ключи доступа и пароли. Для выявления возможного применения атаки в диком виде продвигается инициатива по развёртыванию сети подставных honeypot-серверов, фиксирующих попытки эксплуатации уязвимости.

Проблема проявляется только в актуальной стабильной ветке OpenSSL 1.0.1 и тестовых выпусках 1.0.2, прошлые стабильные ветки 0.9.x и 1.0.0x уязвимости не подвержены. Системы, использующие выпуски OpenSSL 1.0.1[abcdef], требуют срочного обновления. Уязвимость устранена в выпуске OpenSSL 1.0.1g. Обновления пакетов уже выпущены для RHEL 6, CentOS 6, Fedora 19/21, FreeBSD 8.4+, Ubuntu 12.04-13.10, Debian wheezy/jessie/sid, ALT Linux, CRUX, Mageia, CRUX, OpenBSD 5.3+. Проблема пока не исправлена в OpenSUSE 12.2+, NetBSD 5.0+. SUSE Linux Enterprise Server и Debian Squeeze проблеме не подвержены. В качестве запасного варианта отмечается возможность пересборки OpenSSL с опцией "-DOPENSSL_NO_HEARTBEATS", отключающей TLS-расширение heartbeat. Для проверки серверных систем на предмет наличия уязвимости подготовлены специальные online-сервисы.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Критическая уязвимость в GnuTLS, существенно влияющая на безопасность дистрибутивов Linux
  3. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  4. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
  5. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  6. OpenNews: Итоговые результаты расследования взлома сайта OpenSSL
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: ssl, tls, openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:03, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +44 +/
    ай да АНБ, ай да молодцы. это просто 5+
     
     
  • 2.43, rshadow (ok), 13:56, 08/04/2014 [^] [ответить]    [к модератору]
  • +1 +/
    Бритва херлона: Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.
     
     
  • 3.56, Аноним (-), 14:12, 08/04/2014 [^] [ответить]     [к модератору]
  • +2 +/
    Ну SSL и TLS врядли по глупости были напроектирвоаны столь навороченными что ими... весь текст скрыт [показать]
     
  • 3.95, Аноним (-), 16:07, 08/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    а утверждения Херлона, типа, истина в последней инстанции, как суждения Папы Римского для католиков?
     
  • 1.2, бедный буратино (ok), 11:12, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –11 +/
    всегда говорил, что https не нужно, не нужно, не нужно :)
     
     
  • 2.4, Аноним (-), 11:16, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Если в твоей системе с рождения присутствует уязвимость, то вся паранойя вокруг анб ненужна. Подумай в сторону доверенного конпилятора.
     
     
  • 3.10, бедный буратино (ok), 11:46, 08/04/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    извините, но в вашей ахинее я не вижу причинно-следственных связей
     
  • 3.143, Аноним (-), 22:07, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Подумай в сторону доверенного конпилятора.

    А что не так с компилятором? Он собран майнтайнерами системы, на пакете цифровая подпись данных граждан повешена. Достаточно доверяемо выходит вроде.

     
     
  • 4.170, Аноним (-), 06:43, 09/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    А компилятор чем собирать будет маинтейнер, он же из воздуха не возьмётся. Нужен другой компилятор и так отматывай до самого начала.
     
     
  • 5.172, Аноним (-), 09:02, 09/04/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Внезапно, до того как появились компиляторы, был мир где компиляторов не было Э... весь текст скрыт [показать]
     
     
  • 6.176, Аноним (-), 10:57, 09/04/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    Твоё воображение ничего общего с реальностью не имеет.
     
     
  • 7.177, arisu (ok), 11:04, 09/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Твоё воображение ничего общего с реальностью не имеет.

    только твоё имеет, ага?

     
     
  • 8.187, Аноним (-), 12:32, 09/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Д'артаньян != Столлман
     
  • 7.179, Аноним (-), 11:46, 09/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Твоё воображение ничего общего с реальностью не имеет.

    Д'Артаньян, залогинься!

     
     
  • 8.188, ДАртаньян (?), 12:33, 09/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    >> Твоё воображение ничего общего с реальностью не имеет.
    > Д'Артаньян, залогинься!

    Легко, есть проблемы ?

     
     
  • 9.196, Аноним (-), 02:13, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Легко, есть проблемы ?

    А где апостроф? Говорят, Д'Артаньян не настоящий!

     
     
  • 10.199, Анонимоус (?), 08:47, 10/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Возможно здесь от слова Dark, поклонение тёмным силами, всё такое.
     
     
  • 11.218, Dart Anyan (?), 10:53, 14/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Ничего ты не понял! Это Дарт Аньян! Как Дарт Вейдер или Дарт Сидиус, например.
     
  • 2.19, Адекват (ok), 12:02, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым текст... весь текст скрыт [показать]
     
     
  • 3.29, 1 (??), 12:36, 08/04/2014 [^] [ответить]    [к модератору]  
  • –8 +/
    Шифровать ДО передачи по инету.
     
     
  • 4.40, Анонем (?), 13:44, 08/04/2014 [^] [ответить]    [к модератору]  
  • +12 +/
    А ты думаешь, как ssl работает?
     
     
  • 5.119, Аноним (-), 18:53, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    еще раз зашифровать)
     
  • 4.63, Аноним (-), 14:28, 08/04/2014 [^] [ответить]    [к модератору]  
  • +6 +/
    > Шифровать ДО передачи по инету.

    MS-виндоботы поражают воображение.

     
  • 3.31, t28 (?), 12:40, 08/04/2014 [^] [ответить]     [к модератору]  
  • –5 +/
    Раньше на всяких Клиент-банках и без ССЛ-я всё как-то работало, прикинь ... весь текст скрыт [показать]
     
     
  • 4.34, XoRe (ok), 12:43, 08/04/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    До червя морриса вообще о многих вещах не парились, прикинь ... весь текст скрыт [показать]
     
  • 4.105, ваы (?), 16:49, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    ага, потому что было отдельное диалап подключение для каждого банка)
     
  • 3.33, arisu (ok), 12:42, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    а, то есть твой говнобанк вот так и валит нешифрованый поток в соединение, надеясь на https? тогда у меня для тебя очень плохие новости…
     
     
  • 4.35, Адекват (ok), 12:46, 08/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    А что, кто-то делает по другому А именно - вообще не использует https, прин... весь текст скрыт [показать]
     
     
  • 5.36, arisu (ok), 12:54, 08/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    да, все нормальные люди шифруют сами, секретными ключами впрочем, ты с домохозя... весь текст скрыт [показать]
     
     
  • 6.58, Адекват (ok), 14:15, 08/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    И какими же средствами обеспечивается защита соединения В ручную что-ли каж... весь текст скрыт [показать]
     
     
  • 7.64, balda (?), 14:28, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Примерно так. Только нет наружу соединения с таким https. Шифровка/дешифровка идет на отдельных серверах, не имеющих прямого выхода в инет.
     
     
  • 8.70, Аноним (-), 14:49, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    А вот видимо и сотрудники банков появились, видимо. При том ник сам за себя говорит. Что еще веселее - ник не врет. Понимание процесса - на уровне питекантропа, ффтыкающего на микроволновку.
     
     
  • 9.73, Адекват (ok), 14:59, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Мне одно не понятно - банк как сможет расшифровать ваши данные Нет, если конеч... весь текст скрыт [показать]
     
     
  • 10.87, qux (ok), 15:38, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Генеришь ключи, относишь на бумажечке Покупать ничего не нужно Есть онлайн-вер... весь текст скрыт [показать]
     
     
  • 11.122, Василий (??), 19:26, 08/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Ааа, это тот банк та система , где ключи ещё должны лежать на диске A или B ... весь текст скрыт [показать]
     
     
  • 12.127, Аноним (-), 20:27, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Сейчас в этих банках смарткарты и токены под собственным брендом, а линукс и мак... весь текст скрыт [показать]
     
  • 12.155, qux (ok), 23:19, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Нет, лежит где положишь Система кажись эта, тут и демка какая-то есть http w... весь текст скрыт [показать]
     
  • 10.92, Аноним (-), 16:00, 08/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Ох, еще один питекантроп Блин, народ, куда у нас модно посылать питекантропов, ... весь текст скрыт [показать]
     
     
  • 11.215, Michael Shigorin (ok), 14:52, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ко криптокантропам, очевидно ... весь текст скрыт [показать]
     
  • 7.78, arisu (ok), 15:16, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > И какими же средствами обеспечивается защита соединения ?

    для тебя, кретина, ещё раз повторяю: *соединение* защищать не надо. дальше повторяй это себе сам.

     
     
  • 8.93, Аноним (-), 16:02, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > для тебя, кретина, ещё раз повторяю: *соединение* защищать не надо. дальше повторяй
    > это себе сам.

    К сожалению, эти люди иной раз лезут в области где подразумевается передача ценных данных.

     
     
  • 9.94, arisu (ok), 16:06, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > К сожалению, эти люди иной раз лезут в области где подразумевается передача
    > ценных данных.

    это да. причём они даже не понимают, насколько они ничего не понимают. эффект Даннинга-Крюгера.

     
  • 6.97, Аноним (-), 16:09, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    про крутые слова смешно читать от человека, постоянно использующего спич ... весь текст скрыт [показать]
     
     
  • 7.98, arisu (ok), 16:12, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > про крутые слова смешно читать от человека, постоянно использующего "спич"

    а дуракам всегда смешно. потому что дураки.

     
  • 5.37, arisu (ok), 12:55, 08/04/2014 [^] [ответить]    [к модератору]  
  • –6 +/
    p.s. кретин, защищать надо не «соединение», а данные. иди, осмысливай.
     
     
  • 6.39, Stellarwind (?), 13:43, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Если соединение скомпрометировано, то данным можно тоже помахать ручкой, т.к. по этому соединению вам может прилететь все что угодно, внешне "похожее" на сайт банка.
     
     
  • 7.42, arisu (ok), 13:56, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    оно не «если», оно однозначно. https — иллюзия безопасности, и поэтому оно вредно. равно как и пользование «сайтами банков». увы.
     
     
  • 8.59, Адекват (ok), 14:18, 08/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Если пользоваться самоподписаными сертификатами, или же давай пруф на статью кот... весь текст скрыт [показать]
     
     
  • 9.72, Аноним (-), 14:54, 08/04/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Гуглить про comodohacker, DigiNotar и какими сайтами умел представляться этот ха... весь текст скрыт [показать]
     
     
  • 10.77, Адекват (ok), 15:15, 08/04/2014 [^] [ответить]    [к модератору]  
  • –4 +/
    > Хинт: он себе сертификаты выписал на Windows Update, Skype, Mozilla, Google

    Но сейчас то никто его трюк повторить не сможет, так ?

     
     
  • 11.96, Аноним (-), 16:09, 08/04/2014 [^] [ответить]     [к модератору]  
  • +4 +/
    Нет, не так А что принципиально изменилось с того момента Не вижу что помешает... весь текст скрыт [показать]
     
  • 11.107, masudi (ok), 17:00, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Хинт: он себе сертификаты выписал на Windows Update, Skype, Mozilla, Google
    > Но сейчас то никто его трюк повторить не сможет, так ?

    откуда у тебя такие выводы?

     
  • 10.109, Anonym2 (?), 17:18, 08/04/2014 [^] [ответить]     [к модератору]  
  • –3 +/
    Это не проблема HTTPS Проблема в некоторых CA Кто-нибудь например может выдава... весь текст скрыт [показать]
     
     
  • 11.117, Аноним (-), 18:30, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Как бы это сказать Толпа прихлебателей, которым либа браузер по дефолту до... весь текст скрыт [показать]
     
  • 10.120, Аноним (-), 19:02, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Миллионы мух не могут ошибаться, да?

    Кем доказано, что речь идет про го*но?


     
  • 10.130, Аноним (-), 21:10, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Так проблема-то не в HTTPS а инфраструктуре CA.
     
     
  • 11.146, Аноним (-), 22:26, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Проблем несколько 1 PKI - лохоразвод Сколь-нибудь надежно это может быть толь... весь текст скрыт [показать]
     
  • 7.145, Аноним (-), 22:16, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Вообще-то, криптография ставит своей задачей в том числе и передачу данных по не... весь текст скрыт [показать]
     
  • 6.45, crypt (ok), 13:57, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    сложно сказать, кто тут более кретин. множество сетевых атак как раз строится на неверифицированных соединениях.
     
     
  • 7.48, arisu (ok), 14:00, 08/04/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    любая идея защищать *соединиение*, а не *данные* — придумана идиотами для успокоения идиотов.
     
     
  • 8.55, Аноним (-), 14:10, 08/04/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    > любая идея защищать *соединиение*, а не *данные* — придумана идиотами для успокоения идиотов.

    Какое хорошее описание OpenSSL и тех кто им пользуется.

     
     
  • 9.81, arisu (ok), 15:21, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    хинт OpenSSL 8212 это ещё и библиотека алгоритмов шифрования которые можно ... весь текст скрыт [показать]
     
     
  • 10.99, Аноним (-), 16:24, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Это да, но понимаешь ли, там SSL TLS есть, и вон то стадо долбодятлов начинает в... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 12.148, Аноним (-), 22:38, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну я понимаю Кэпа Иногда очень хочется честно сказать кретину что он - кретин ... весь текст скрыт [показать]
     
  • 8.131, Аноним (-), 21:11, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > любая идея защищать *соединиение*, а не *данные* — придумана идиотами для успокоения
    > идиотов.

    Соединение и есть данные. Просвещайся, неуч.

     
     
  • 9.149, Аноним (-), 22:40, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Соединение и есть данные.

    Совершенно не обязательно. Могут быть и служебные сущности, например. Но грамотеи же не читали описание хоть того же TLS, правда?


     
  • 4.68, Аноним (-), 14:45, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Еще более плохая новость обезьяны которые пишут этот банковский крап обычно не ... весь текст скрыт [показать]
     
     
  • 5.83, arisu (ok), 15:23, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    это совершенно не повод считать https какой-то там «защитой».
     
     
  • 6.101, Аноним (-), 16:30, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Спасибо, я в курсе свойств SSL TLS и мне они не нравятся За все это я и не жалу... весь текст скрыт [показать]
     
     
  • 7.136, Аноним (-), 21:55, 08/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Пожалуйста, предложи криптографический casino-grade как на колесах рулетки пишу... весь текст скрыт [показать]
     
     
  • 8.151, Аноним (-), 22:44, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    С казино известно много приколов Как минимум одному гражданину запретили вход в... весь текст скрыт [показать]
     
  • 6.178, Sem (??), 11:44, 09/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > это совершенно не повод считать https какой-то там «защитой».

    Хватит уже изголяться. Ты альтернативу предложи.

     
  • 3.57, Аноним (-), 14:14, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну передашь ты его шифрованным, только окажется что это был не тот сервер Но ни... весь текст скрыт [показать]
     
     
  • 4.71, Адекват (ok), 14:53, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Так, допустим некто организовал атаку M-I-M и стал через себя траффик пропускать... весь текст скрыт [показать]
     
     
  • 5.74, Аноним (-), 15:06, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Зачем Он ставит свой сервак, который я, типа, банковский сервер SSL делается... весь текст скрыт [показать]
     
     
  • 6.89, Адекват (ok), 15:50, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Щас попробую вникнуть 1 Мне отравили DNS, и для меня валидным ip банка теперь ... весь текст скрыт [показать]
     
     
  • 7.104, Аноним (-), 16:44, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    За кадром слышен натужный скрип мозга питекантропа электричество магнетрон ... весь текст скрыт [показать]
     
     
  • 8.138, Аноним (-), 21:57, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Плз, не надо столько громких слов Объясни этому баклану... весь текст скрыт [показать]
     
     
  • 9.153, Аноним (-), 22:57, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Это прежде всего лохотрон, который претендует на то что он типа, аутентификация,... весь текст скрыт [показать]
     
  • 2.167, Sabakwaka (ok), 02:38, 09/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Отключи heartbeat.
    И всё.
     
     ....нить скрыта, показать (75)

  • 1.3, Аноним (-), 11:15, 08/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    http www linuxtag org 2012 en program speaker-features featured article featur... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 11:20, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    А сколько еще неизвестных общественности критических уязвимостей. Бояться надо не то, что знаешь, а то, что не знаешь)
     
     
  • 2.11, Нанобот (ok), 11:47, 08/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    все параноики так и делают
     
     
  • 3.53, Аноним (-), 14:04, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    И правильно, ведь всё знать невозможно и повод для страха есть всегда. :)
     
     
  • 4.161, Анонимоус (?), 23:57, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А чё бояться то Ну есть язвы, ну может у тебя давно бэкдор, мир не без добрых ... весь текст скрыт [показать]
     
     
  • 5.164, Аноним (-), 01:16, 09/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Когда-нибудь, да научишься в безопасности разбираться.

    А бояться надо того что чего-то не учел и не заметил, разумеется. То-есть, собственных продолбов.

     
  • 1.6, Аноним (-), 11:24, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Вот за что-то такое мы и любим nacl от дяденьки берштейна. Хорошее средство от обиронов с криптографией.
     
     
  • 2.7, arisu (ok), 11:28, 08/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > Вот за что-то такое мы и любим nacl от дяденьки берштейна.

    рад за вас. где можно скачать ваши патчи к софту, который использует OpenSSL, дабы заменить его на nacl?

     
     
  • 3.21, anonymous (??), 12:06, 08/04/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    Нельзя. Пакет станет популярным, это вредит неуязвимости продукта.
     
     
  • 4.23, Аноним (-), 12:14, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    В SSL TLS и OpenSSL как реализации вредят совсем иные вещи, как то пи цкая нав... весь текст скрыт [показать]
     
  • 4.24, e.slezhuk (?), 12:15, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Синдром неуловимого Джо?
     
     
  • 5.26, Аноним (-), 12:17, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Синдром неуловимого Джо?

    Более того, хорошая криптография проверки толпой народа не боится.

     
  • 3.22, Аноним (-), 12:12, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Нигде OpenSSL и SSL TLS вообще сделаны так, что секурно ими пользоваться може... весь текст скрыт [показать]
     
     
  • 4.30, arisu (ok), 12:40, 08/04/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    мягко намекаю, что уже есть куча софта, которая использует OpenSSL поскольку ... весь текст скрыт [показать]
     
     
  • 5.41, Аноним (-), 13:47, 08/04/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    При том большинство оного по факту использует сие в виде декоративной бесполезно... весь текст скрыт [показать]
     
     
  • 6.44, arisu (ok), 13:57, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    ок. где взять замены всему софту, который использует OpenSSL, от любителей nacl? меня не интересует «отличная библиотека в вакууме», меня интересует рабочий софт. как это понятней пояснить?
     
     
  • 7.49, Аноним (-), 14:01, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    У меня полный аэродром самолетов выработавших свой ресурс Что же мне с ними де... весь текст скрыт [показать]
     
     
  • 8.124, Василий (??), 20:00, 08/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Есть распространённые и мощные БД, есть веб-серверы, есть куча другого софта, ис... весь текст скрыт [показать]
     
     
  • 9.154, Аноним (-), 23:08, 08/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну я и говорю - полон аэродром стремных самолетов с гнилыми внутренностями, кото... весь текст скрыт [показать]
     
  • 8.183, Sem (??), 12:05, 09/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Угу Давайте запретим авиацию как класс, пока не создадут новые самолеты Есть в... весь текст скрыт [показать]
     
     
  • 9.197, Аноним (-), 02:26, 10/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Декоративное типа, шифрование вредно хотя-бы тем что дает ложную уверенность ч... весь текст скрыт [показать]
     
  • 6.47, arisu (ok), 13:59, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    лететь-то на чём, а? лететь *уже* надо. есть замена? нет? только вопли, что «вот этот-то точно упадёт, а наш когда-нибудь будет построен»? ок. я рад. лететь как?
     
     
  • 7.50, Аноним (-), 14:02, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    В зависимости от - я считаю что самолета нет, или конструирую новый Лететь на э... весь текст скрыт [показать]
     
     
  • 8.54, arisu (ok), 14:05, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    ещё раз повторяю: лететь надо *уже*. «поехали, потом заведёшь», ага?
     
     
  • 9.61, Аноним (-), 14:22, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну раз надо - лети Правда у тебя интересно получается Если в дебиане лажа - он... весь текст скрыт [показать]
     
     
  • 10.75, arisu (ok), 15:10, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    я что-то говорил про то, что в чём не надо бредить, ты перечитай мои комментари... весь текст скрыт [показать]
     
     
  • 11.106, Аноним (-), 16:57, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Естественно Я не могу запатчить парой заплаток фюзеляж, который по всей поверхн... весь текст скрыт [показать]
     
  • 10.76, arisu (ok), 15:14, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    если всё ещё не дошло от воплей 171 а соль лучше 187 существующий софт с ... весь текст скрыт [показать]
     
     
  • 11.108, Аноним (-), 17:05, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Да, от того факта что я сказал что на самолетах с фюзеляжем выработавшим свой ре... весь текст скрыт [показать]
     
     
  • 12.140, Аноним (-), 22:00, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    gt оверквотинг удален Откажись от уютненькой мордокниги фконтактика, связи - ... весь текст скрыт [показать]
     
     
  • 13.156, Аноним (-), 23:21, 08/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Сложно Ведь я ими и не начинал пользоваться Поэтому отказаться от них будет пр... весь текст скрыт [показать]
     
     
  • 14.166, angra (ok), 02:32, 09/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Это декоративное секурити защищает в 99 случаев От теоретического знания общ... весь текст скрыт [показать]
     
     
  • 15.174, Аноним (-), 10:36, 09/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Это декоративное секурити защищает лишь до тех пор, пока никто не озадачиваетс... весь текст скрыт [показать]
     
     
  • 16.189, Аноним (-), 12:47, 09/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Танковая броня не защищает от прямого попадания ядерного заряда. Ох печалька, уж лучше совсем голышом ходить, чем прикрываться "декаративной" защитой танка.
     
     
  • 17.198, Аноним (-), 02:29, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    В данном случае броня является фанерной И не защищает даже от пистолетной пули ... весь текст скрыт [показать]
     
     
  • 18.213, ZiNk (ok), 01:16, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    От пистолетной пули не защищает Тебе дать дамп SSL траффика, а ты его расшифруе... весь текст скрыт [показать]
     
  • 6.111, Anonym2 (?), 17:55, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    A deterministic random-bit generator is seeded by the output from the condition... весь текст скрыт [показать]
     
     ....нить скрыта, показать (30)

  • 1.14, Нанобот (ok), 11:56, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    openssh тоже в группе риска?
     
     
  • 2.15, Аноним (-), 12:00, 08/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Конечно) Смотрите вывод команды и всё будет понятно:

    ssh -version

     
  • 2.17, Аноним (-), 12:01, 08/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    http://security.stackexchange.com/questions/3424/how-is-openssl-related-to-op
    Ага. Рестартнуть придется.
     
  • 2.128, anonymous (??), 20:41, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > openssh тоже в группе риска?

    Нет. openssh использует openssl, но не tls с heartbeat. Так что, sshd не затронут.

     
  • 1.16, Аноним (-), 12:01, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Для проверки серверных систем на предмет наличия уязвимости подготовлен специальный online-сервис.

    Что-то на этом сервисе все чеки проходят как ОК в отличие от http://filippo.io/Heartbleed/

     
     
  • 2.25, Аноним (-), 12:16, 08/04/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    Эм особо предприимчивые господа уже коллекционируют пароли и ключи на своих о... весь текст скрыт [показать]
     
  • 1.18, Аноним (-), 12:01, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эксплойт то где? А то развели шум из-за ничего )) Где гарантия что в этих 64 килобайтах будет вдруг ключ и пароль?
     
     
  • 2.38, XoRe (ok), 13:31, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Эксплойт то где? А то развели шум из-за ничего )) Где гарантия
    > что в этих 64 килобайтах будет вдруг ключ и пароль?

    А вы оставьте здесь адреса своих серверов... :)

     
     
  • 3.46, Аноним (-), 13:58, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > А вы оставьте здесь адреса своих серверов... :)

    Да, вон там как раз пара сервисов уже. Для проверки, так сказать, сколько ключей и паролей удастся извлечь.

     
  • 2.103, Нанобот (ok), 16:42, 08/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Где гарантия что в этих 64 килобайтах будет вдруг ключ и пароль?

    ничё себе чувак губу раскатал, гарантии ему нужны. Хочешь гарантию - покупай микроволновку

     
  • 1.27, Наивный чукотский юноша (?), 12:19, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ещё увидел в рекомендациях заново по-возможности сгенерировать сертификаты.
     
     
  • 2.158, Аноним (-), 23:24, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Логично Потому что если у тебя тихой сапой уперли пароли и ключи - однажды на с... весь текст скрыт [показать]
     
  • 1.52, Аноним (-), 14:04, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А что случится после того как злоумышленник вытянет из сервера закрытый ключ?
     
     
  • 2.142, Аноним (-), 22:02, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > А что случится после того как злоумышленник вытянет из сервера закрытый ключ?

    А вот тогда и увидишь, как сервак плавно-нах становится не твоим.

     
     
  • 3.190, Аноним (-), 14:13, 09/04/2014 [^] [ответить]    [к модератору]  
  • +/
    это было бы круто, но я этого не увижу поскольку оргмеры рулят, потому и спрашиваю
     
  • 1.60, Аноним (-), 14:20, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    $  ssh -V
    OpenSSH_5.5p1 Debian-6+squeeze4, OpenSSL 0.9.8o 01 Jun 2010

    Цифродрочepы - цифродpoчат! :-P

     
     
  • 2.62, Аноним (-), 14:25, 08/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Цифродрочepы - цифродpoчат! :-P

    Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей удастся утянуть.

     
     
  • 3.86, ryoken (?), 15:35, 08/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/

    > Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей
    > удастся утянуть.

    "Тебя посодют, а ты не воруй".

     
     
  • 4.118, Аноним (-), 18:37, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > "Тебя посодют, а ты не воруй".

    Чего-то не похоже на айпишник.

     
  • 3.162, Michael Shigorin (ok), 00:26, 09/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Придётся подсказать специалисту, который внимательно прочитал CVE -- 127 14 98 2... весь текст скрыт [показать]
     
     
  • 4.175, Аноним (-), 10:42, 09/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > 127.14.98.241.

    Надеетесь что все вокруг глупые и не умеют считать битовые маски? :)

     
     
  • 5.192, Michael Shigorin (ok), 19:17, 09/04/2014 [^] [ответить]    [к модератору]  
  • +/
    >> 127.14.98.241
    > Надеетесь что все

    Отнюдь. :)

     
  • 1.88, Аноним (-), 15:43, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В nginx под centos используется статическая линковка с openssl.
    Брали из репозитария nginx.org
     
  • 1.90, хрюкотающий зелюк (?), 15:50, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ой не верю что программист этого дела типа случайно забыл там проверку поставить...
     
     
  • 2.91, Аноним (-), 15:53, 08/04/2014 [^] [ответить]    [к модератору]  
  • +4 +/
    Гонорарчик :)
     
     
  • 3.150, Аноним (-), 22:40, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Ну или угрозы. :)
     
  • 1.110, Аноним (-), 17:53, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Вообще-то из FreeBSD только 10.0+ уязвимо..

    root@as2:~ # uname -r
    9.2-RELEASE-p3
    root@as2:~ # openssl version
    OpenSSL 0.9.8y 5 Feb 2013

     
  • 1.113, Аноним (-), 18:14, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    https://github.com/openssl/openssl/commit/4817504d069b4c5082161b02a22116ad75f8
     
  • 1.125, Нанобот (ok), 20:13, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    если я правильно понял, этот баг будет проявляться только через ssl-соединения, созданные штатными средствами openssl.
    если так, то openssh не подвержен уязвимости, openvpn поверх udp - тоже
     
  • 1.137, Аноним (-), 21:57, 08/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Вот что происходит, когда для разработки криптографических библиотек используется С вместо безопасного языка программирования вроде rust.
     
     
  • 2.147, Аноним (-), 22:33, 08/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Он ведь тоже на си
     
  • 2.159, Аноним (-), 23:27, 08/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Боюсь, SSL TLS на чем не реализуй, а получишь не секурити а буй ... весь текст скрыт [показать]
     
     
  • 3.182, iZEN (ok), 11:53, 09/04/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    > Боюсь, SSL/TLS на чем не реализуй, а получишь не секурити а буй.

    Кстати, GnuTLS как нельзя лучше подходит под это определение.

     
     
  • 4.185, Аноним (-), 12:08, 09/04/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Ты не напишешь ничего безопасного ни на каком ЯП Ни с какой библиотекой Потому... весь текст скрыт [показать]
     
     
  • 5.193, Ytch (ok), 23:35, 09/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Выращивай рассаду, может хоть там лажать не будешь.

    Ты рискнешь что-нибудь съесть с той грядки??? Смело!

     
  • 2.184, Аноним (-), 12:07, 09/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А безопасный ЯП типа rust с его garbage collector и прочим вообще позволит сказо... весь текст скрыт [показать]
     
     
  • 3.194, Аноним (-), 02:00, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Rust использует линейные типы с отслеживанием скопа вместо сборки мусора Погугл... весь текст скрыт [показать]
     
     
  • 4.200, Аноним (-), 09:04, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А один хрен Автоматика в таких вещах только мешается и гробит предсказуемость ... весь текст скрыт [показать]
     
     
  • 5.207, arisu (ok), 12:38, 10/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    у тебя руки отпали, ты надеешься на языковую магию ок, возьми D, сделай scoped ... весь текст скрыт [показать]
     
  • 5.212, Аноним (-), 16:30, 10/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну так в чём проблема По выходу из скопа, данные, если уникальный указатель не ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.163, Аноним (-), 01:13, 09/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ухнифигасебе !! щас еще тестят StrongSWAN и либресван, есть шансы что там - тоже воспроизводимо :(
     
  • 1.181, iZEN (ok), 11:53, 09/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Во FreeBSD закрыли этот ваш баг в SSL:
    http://www.freebsd.org/security/advisories/FreeBSD-SA-14:06.openssl.asc
    Расстраиваться не стоит.
     
     
  • 2.186, Аноним (-), 12:10, 09/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Вот только стоит помнить что клиент мог получить кусок памяти сервера, а сервер ... весь текст скрыт [показать]
     
     
  • 3.203, iZEN (ok), 10:26, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Так это стандартная процедура, выполняемая часто и регулярно Залог безопасности... весь текст скрыт [показать]
     
     
  • 4.208, arisu (ok), 12:47, 10/04/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    ну да, у бсдоидов смена ключей — процедура чуть ли не ежедневная. а то они в своей основной системе от m$ троянов нахватаются — и прощайте, ключики.
     
  • 1.195, Аноним (-), 02:07, 10/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Вброшу-ка сюда пару ссылок Theo de Raadt OpenSSL has exploit mitigation count... весь текст скрыт [показать]
     
     
  • 2.201, Аноним (-), 09:07, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Отлично, эти умники перехватили malloc() но сделать его в виде как ожидается от криптографической либы и не почесались. Я таки был прав в моем мнении про openssl.
     
     
  • 3.211, Xaionaro (ok), 14:47, 10/04/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    Если я правильно понял, то почесались. Но потом за-ifdef-или защиту и забыли про это.
     
  • 1.202, Мавр (?), 10:18, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Странное дело - сервис проверки (соединения на его уязвимость) указанный в статье (http://filippo.io/Heartbleed)
    очевидно не справляется с проверкой некоторых программных продуктов - проверил
    свой сервер с апачем - выдаёт, что всё окей (ну да он ещё на squeezе стоит).
    А пытаюсь ему подсунуть порт 443 от pound, что стоит у одной из пачки серверов
    как loadbalancer - говорит "heartbleed: timeout".

    У кого-нибудь есть похожие симптомы || опыт?

     
  • 1.204, Аноним (-), 12:18, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Спасибо новости, и генту-майнтейнерам, уже запилили ебилд.
     
  • 1.209, Аноним (-), 13:17, 10/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Following up on the CVE-2014-0160 vulnerability, heartbleed We ve created some ... весь текст скрыт [показать]
     
  • 1.214, billybons2006 (ok), 11:07, 11/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Я правильно понимаю, что если на моем сервере openssl 0.9.8e-27.el5_10.1, то данная уязвимость не могла затронуть меня?
     
     
  • 2.216, V (??), 17:26, 11/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    тебя -- точно нет ))
     
     
  • 3.217, billybons2006 (ok), 19:18, 11/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > тебя -- точно нет ))

    Ну и ладушки. Centos 5 рулит. А ведь совсем недавно обновлялся.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor