The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL

09.04.2014 10:13

В Сети стали появляться рабочие прототипы эксплотитов (heartattack.py, ssltest.py, pacemaker.py, openssl_heartbeat_client_memory.rb, heartbleed.c) нацеленные на проведение практических экспериментов с обнародованной вчера критической уязвимостью (CVE-2014-0160) в OpenSSL 1.0.1, позволяющей получить содержимое памяти удалённых серверных и клиентских приложений. Появление эксплоитов привело к волне массовых атак, в частности, пользователи сервиса Yahoo Mail выявили возможность использования уязвимости для получения незашифрованных паролей недавно авторизировавшихся в системе случайных пользователей сервиса Yahoo Mail (в настоящее время проблема в Yahoo устранена). Всем пользователям OpenSSL 1.0.1 следует немедленно установить обновление и перезапустить использующие OpenSSL процессы.



  1. Главная ссылка к новости (https://www.michael-p-davis.co...)
  2. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Адекват (ok), 10:35, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично, мне удалось заставить работать эти эксплоиты (если просто скопировать и вставить - будут ошибки выполнения)
    и найти уязвимый сайт, как интересно :))
     
     
  • 2.2, Аноним (-), 10:44, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +29 +/
    Скрипткидис с эксплойтом - что обезьяна с гранатой...
     
     
  • 3.9, arisu (ok), 11:33, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Скрипткидис с эксплойтом - что обезьяна с гранатой...

    обезьяна как минимум на порядок разумней.

     
     
  • 4.16, Аноним (-), 13:26, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > обезьяна как минимум на порядок разумней.

    Да одинаково, просто это обезьяна 2.0 :)

     
  • 3.10, YetAnotherOnanym (ok), 12:54, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По-Вашему, только скрипт-киддис могут играться с эксплойтами? Слово "аудит" Вам не доводилось слышать? Поиск уязвимостей на чужих сайтах - способ проверить работоспособность инструмента. Не самый морально безупречный способ, но если не причинять вреда - приемлемый.
     
     
  • 4.11, Аноним (-), 13:07, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >Поиск уязвимостей на чужих сайтах - способ

    попасть в тюрьму. Что вполне логично - попробуйте провести аудит двери соседа на устойчивость к взлому, без его ведома.

    >приемлемый

    C точки зрения идиота - да. С точки зрения закона - нет.

     
     
  • 5.22, user (??), 17:05, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Но ведь по результату аудита сосед получает бенефит в кратном размере! Какой замок лучше поставить, где дверь укрепить... Так что все нормально, потряхивайте своими законами в Госдуме.
     
  • 5.24, YetAnotherOnanym (ok), 20:04, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если Вы сумели открыть дверь соседской квартиры, а потом закрыли её, ничего не взяв и даже не зайдя в прихожую, то это ст. 31 УК РФ - добровольный отказ от преступления.
     
     
  • 6.30, arisu (ok), 12:52, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если Вы сумели открыть дверь соседской квартиры, а потом закрыли её, ничего
    > не взяв и даже не зайдя в прихожую, то это ст.
    > 31 УК РФ - добровольный отказ от преступления.

    если только хозяин не заявит, что у него пропали «три магнитофона, три кинокамеры заграничных, три портсигара отечественных, три куртки замшевых».

     
     
  • 7.31, Аноним (-), 18:08, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а потом закрыли её, ничего не взяв и даже не зайдя в прихожую

    читать учись

     
     
  • 8.32, arisu (ok), 18:46, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это ты судье будешь рассказывать так вот и скажешь 171 читать учись, дубина ... текст свёрнут, показать
     
  • 4.20, Аноним (-), 16:30, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы провести аудит, нужно понимать в чем именно заключается уязвимость, как она эсплуатируется и т.д. ТОпик стартер же самый обычный скрипткиддис, ничего не понимающий в инструменте, к-й он использует.
     
  • 4.29, arisu (ok), 12:51, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "аудит"
    > Поиск уязвимостей на чужих сайтах

    для тебя, наверное, это будет Открытием, но «аудит» != «поиск уязвимостей на чужих сайтах без ведома владельцев оных».

     
     
  • 5.34, Аноним (-), 21:14, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я бы даже так сказал: "аудит != скрипткиддинг"
     
     
  • 6.35, arisu (ok), 21:36, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    зато какой отмаз шикарный: «это я не просто так мелочь по карманам тырил, это я АУДИТ ПРОВОДИЛ!»
     

  • 1.4, Аноним (-), 10:52, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    т.е. как я понимаю яху имеет постоянный доступ к паролям пользователей в открытом виде...
    Интересно.
     
     
  • 2.12, Аноним (-), 13:12, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Любой сайт на которым ты вводишь пароль имеет доступ к паролю в открытом виде. Ваш КО. В  вебе вход по  ключу и другие криптобезопасные способы аутентификации не прижились.
    Заявлениям что, пароль "хешируется", "солится" и тд. без исходных кодов этих сайтов - грош цена.
     
     
  • 3.13, аноно (?), 13:18, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну теоритически на сайт повесить скрипт который на стороне пользователя шифрует пароль и по Диффи-Хэллману передает на сервер, а он потом солит/хэширует.
    На сколько я понимаю перехватывается само соединение, так что соль и хэш тут не причем так как почти все сайты не используют шифрование на стороне пользователя и перехватывает plain text пароль.
     
     
  • 4.17, Аноним (-), 13:32, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну теоритически

    Теоритики фиговы.

    > на сайт повесить скрипт который на стороне пользователя шифрует пароль

    И который Элис тут же перехватит и заменит.
    > На сколько я понимаю перехватывается само соединение

    Ты ничего не понимаешь, не льсти себе.

    >На сколько я понимаю перехватывается само соединение, так что соль и хэш тут не причем так >как почти все сайты не используют шифрование на стороне пользователя и ПЕРЕХВАТЫВАЕТ plain >text пароль.

    Кто перехватывает? Где подлежащее? Где образование?

     
     
  • 5.18, аноно (?), 14:05, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну ты и смешной толстенький глупыш)
     
  • 5.28, Аноним (-), 11:17, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    как только увидел "Элис", сразу понял, кто тут теоретик обчитавшийся
     

  • 1.5, Адекват (ok), 10:55, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Там нет ничего не интересного

    [code]

    ....#.......Appl
    eWebKit/537.36 (
    KHTML, like Geck
    o) Chrome/32.0.1
    700.102 YaBrowse
    r/14.2.1700.1259
    9 Safari/537.36.
    .Referer: https:
    //*********.ru/auth/
    login?noipauth=1
    ..Accept-Encodin
    g: gzip,deflate,
    sdch..Accept-Lan
    guage: ru,en;q=0
    .8..Cookie: LKMA
    INSESSID=n4vi8ft
    h86ehsj4daru831q
    231; LOGIN=SYRTS
    EVATI; YII_CSRF_
    TOKEN=30c8b40f27
    7f853d946ec73c06
    ccf51b9a968384..


    [/code]

     
     
  • 2.7, Нанобот (ok), 10:59, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    там данные из случайного участка памяти. в большинстве случаев - из памяти, использованой в предыдущем запросе. если много раз повторять запрос, можно дождаться и более важных данных


     
  • 2.14, Аноним (-), 13:18, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CSRF токен? Куки? Ничего интересного, да.
     
     
  • 3.15, Аноним (-), 13:24, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > CSRF токен? Куки? Ничего интересного, да.

    Ну да, подумаешь, можно как другой юзер залогиниться. Это ж мелочи.

     
  • 2.19, bugmenot (ok), 15:07, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А это уже как повезет. Я, например, выудил из памяти сервера известного в узких кругах программного продукта логин и хэш пароля от phpmyadmin. Несколько часов брута - и победа.
     
     
  • 3.21, Аноним (-), 16:47, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А потом проснулись, правильно?
     
     
  • 4.23, тазовод (?), 18:34, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    тоже так бывало, неоднократно.
     
  • 4.25, Аноним (-), 22:44, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На лекции?
     
  • 2.33, www2 (??), 18:53, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Там нет ничего не интересного

    Люди не поняли двойного (или тройного?) отрицания и ринулись спорить.

     

  • 1.26, Аноним (-), 23:32, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >стали появляться

    Breaking estonian news!

    Вообще-то уж вчера днем они имелись, кто не проспал - имел возможность поюзать дырочку, пока ее не прикрыли. Поимели многих крупняков вроде Фейсбука и Яху, у нас - Яндекс с Мылом.ру Разумеется, они теперь будут отмазываться до последнего, что успели закрыть дырку прежде, чем кто-то успел воспользоваться, ну да и хрен бы с ними. Тем более, вряд ли им успели сколь-нибудь существенный ущерб нанести.

    Гораздо более интересный вопрос - как эксплойты оказались в паблике всего через пару часов после обнародования уязвимости? С какой целью их вбросили? Надеялись, что скрипткиддисы на радостях бросятся ломать все, до чего дотянутся, и тем самым создадут панику? Хотели невозбранно поюзать баранов - ведь многих из тех, кто этими эксплойтами воспользовался через некоторое время ждет зело неприятный сюрприз. Или еще зачем-то? Наблюдал вчера за этим цирком с интересом, но так и не понял, зачем это было?

     
     
  • 2.36, XoRe (ok), 19:01, 14/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Гораздо более интересный вопрос - как эксплойты оказались в паблике всего через
    > пару часов после обнародования уязвимости?

    Видать, имея нужные скиллы, скрипт написать не так уж сложно.
    Тот, кто имел скиллы, написал.
    А те, кто не имели, просто скопировали.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру