The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей

08.04.2014 10:49

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленникам серверными системами.

Причиной проблемы является отсутствие проверки выхода за допустимые границы в коде реализации TLS-расширения heartbeat (RFC 6520), что позволяет инициировать отправку удалённой стороне до 64Кб данных из области за границей текущего буфера. При этом возможна отправка произвольных 64Кб данных, а не только примыкающих к границе буфера (путем повторения запросов атакующий может шаг за шагом прочитать всё содержимое памяти процесса). По некоторым оценкам проблема охватывает до половины поддерживающих защищённое соединение серверных систем в Сети, включая собранные с OpenSSL 1.0.1 web-серверы (Apache httpd, nginx), почтовые серверы, XMPP-серверы, VPN-системы, шлюзы и скрытые сервисы анонимной сети Tor.

Связанная с атакой активность не проявляется в серверных логах, что затрудняет выявление фактов эксплуатации уязвимости. Возможность создания рабочего эксплоита для извлечения ключей безопасности без оставления следов в логе подтверждена исследователями из компаний Google и Codenomicon, выявивших уязвимость. В связи с тем, что проблема присутствует в коде OpenSSL уже более двух лет и, при этом, невозможно отследить по логу уже совершённые атаки, помимо установки обновления пользователям рекомендуется поменять SSL-сертификаты, ключи доступа и пароли. Для выявления возможного применения атаки в диком виде продвигается инициатива по развёртыванию сети подставных honeypot-серверов, фиксирующих попытки эксплуатации уязвимости.

Проблема проявляется только в актуальной стабильной ветке OpenSSL 1.0.1 и тестовых выпусках 1.0.2, прошлые стабильные ветки 0.9.x и 1.0.0x уязвимости не подвержены. Системы, использующие выпуски OpenSSL 1.0.1[abcdef], требуют срочного обновления. Уязвимость устранена в выпуске OpenSSL 1.0.1g. Обновления пакетов уже выпущены для RHEL 6, CentOS 6, Fedora 19/21, FreeBSD 8.4+, Ubuntu 12.04-13.10, Debian wheezy/jessie/sid, ALT Linux, CRUX, Mageia, CRUX, OpenBSD 5.3+. Проблема пока не исправлена в OpenSUSE 12.2+, NetBSD 5.0+. SUSE Linux Enterprise Server и Debian Squeeze проблеме не подвержены. В качестве запасного варианта отмечается возможность пересборки OpenSSL с опцией "-DOPENSSL_NO_HEARTBEATS", отключающей TLS-расширение heartbeat. Для проверки серверных систем на предмет наличия уязвимости подготовлены специальные online-сервисы.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Критическая уязвимость в GnuTLS, существенно влияющая на безопасность дистрибутивов Linux
  3. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  4. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
  5. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  6. OpenNews: Итоговые результаты расследования взлома сайта OpenSSL
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: ssl, tls, openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (172) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:03, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +44 +/
    ай да АНБ, ай да молодцы. это просто 5+
     
     
  • 2.43, rshadow (ok), 13:56, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бритва херлона: Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.
     
     
  • 3.56, Аноним (-), 14:12, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Бритва херлона: Никогда не приписывайте злому умыслу то, что вполне можно объяснить
    > глупостью.

    Ну SSL и TLS врядли по глупости были напроектирвоаны столь навороченными что ими безопасно пользоваться невозможно. А то что ламеры в шифровании написали свою мегалибу и популяризовали этот крап - ну ок, Шнобелевскую премию им за это.

     
  • 3.95, Аноним (-), 16:07, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а утверждения Херлона, типа, истина в последней инстанции, как суждения Папы Римского для католиков?
     

  • 1.2, бедный буратино (ok), 11:12, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    всегда говорил, что https не нужно, не нужно, не нужно :)
     
     
  • 2.4, Аноним (-), 11:16, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если в твоей системе с рождения присутствует уязвимость, то вся паранойя вокруг анб ненужна. Подумай в сторону доверенного конпилятора.
     
     
  • 3.10, бедный буратино (ok), 11:46, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    извините, но в вашей ахинее я не вижу причинно-следственных связей
     
  • 3.143, Аноним (-), 22:07, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Подумай в сторону доверенного конпилятора.

    А что не так с компилятором? Он собран майнтайнерами системы, на пакете цифровая подпись данных граждан повешена. Достаточно доверяемо выходит вроде.

     
     
  • 4.170, Аноним (-), 06:43, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А компилятор чем собирать будет маинтейнер, он же из воздуха не возьмётся. Нужен другой компилятор и так отматывай до самого начала.
     
     
  • 5.172, Аноним (-), 09:02, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Внезапно, до того как появились компиляторы, был мир где компиляторов не было Э... текст свёрнут, показать
     
     
  • 6.176, Аноним (-), 10:57, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Твоё воображение ничего общего с реальностью не имеет.
     
     
  • 7.177, arisu (ok), 11:04, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Твоё воображение ничего общего с реальностью не имеет.

    только твоё имеет, ага?

     
     
  • 8.187, Аноним (-), 12:32, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Д артаньян Столлман... текст свёрнут, показать
     
  • 7.179, Аноним (-), 11:46, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Твоё воображение ничего общего с реальностью не имеет.

    Д'Артаньян, залогинься!

     
     
  • 8.188, ДАртаньян (?), 12:33, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Легко, есть проблемы ... текст свёрнут, показать
     
     
  • 9.196, Аноним (-), 02:13, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А где апостроф Говорят, Д Артаньян не настоящий ... текст свёрнут, показать
     
     
  • 10.199, Анонимоус (?), 08:47, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Возможно здесь от слова Dark, поклонение тёмным силами, всё такое ... текст свёрнут, показать
     
     
  • 11.218, Dart Anyan (?), 10:53, 14/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего ты не понял Это Дарт Аньян Как Дарт Вейдер или Дарт Сидиус, например ... текст свёрнут, показать
     
  • 2.19, Адекват (ok), 12:02, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > всегда говорил, что https не нужно, не нужно, не нужно :)

    Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым текстом передавать.
    Интересно как уважаемый оппонент предлагает защищать передаваемые данные от подглядывания со стороны например провайдера ?

     
     
  • 3.29, 1 (??), 12:36, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Шифровать ДО передачи по инету.
     
     
  • 4.40, Анонем (?), 13:44, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +12 +/
    А ты думаешь, как ssl работает?
     
     
  • 5.119, Аноним (-), 18:53, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    еще раз зашифровать)
     
  • 4.63, Аноним (-), 14:28, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Шифровать ДО передачи по инету.

    MS-виндоботы поражают воображение.

     
  • 3.31, t28 (?), 12:40, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Интересно как уважаемый оппонент предлагает защищать передаваемые данные от подглядывания
    > со стороны например провайдера ?

    Раньше на всяких "Клиент-банках" и без ССЛ-я всё как-то работало, прикинь!

     
     
  • 4.34, XoRe (ok), 12:43, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Интересно как уважаемый оппонент предлагает защищать передаваемые данные от подглядывания
    >> со стороны например провайдера ?
    > Раньше на всяких "Клиент-банках" и без ССЛ-я всё как-то работало, прикинь!

    До червя морриса вообще о многих вещах не парились, прикинь :)

     
  • 4.105, ваы (?), 16:49, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ага, потому что было отдельное диалап подключение для каждого банка)
     
  • 3.33, arisu (ok), 12:42, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а, то есть твой говнобанк вот так и валит нешифрованый поток в соединение, надеясь на https? тогда у меня для тебя очень плохие новости…
     
     
  • 4.35, Адекват (ok), 12:46, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а, то есть твой говнобанк вот так и валит нешифрованый поток в
    > соединение, надеясь на https? тогда у меня для тебя очень плохие
    > новости…

    А что, кто-то делает по другому :) ? А именно - вообще не использует https, принципиально.
    И какими же средствами обеспечивается защита соединения ? Для домохозяек все так же прозрачно как и в случае https ? - то есть не нужно ставить никакого стороннего софта ?

     
     
  • 5.36, arisu (ok), 12:54, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А что, кто-то делает по другому :) ?

    да, все нормальные люди шифруют сами, секретными ключами. впрочем, ты с домохозяйками можешь не заморачиваться, вам без разницы. не понимаю, правда, зачем тогда спич о какой-то «безопасности». это, видимо, ты просто слово крутое услышал — и пихаешь куда ни попадя.

     
     
  • 6.58, Адекват (ok), 14:15, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А что, кто-то делает по другому :) ?
    > да, все нормальные люди шифруют сами, секретными ключами.

    И какими же средствами обеспечивается защита соединения ?
    В ручную что-ли ? каждый GET и POST пропускать через шифровальную машину, которая не-openssl ? )))


     
     
  • 7.64, balda (?), 14:28, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Примерно так. Только нет наружу соединения с таким https. Шифровка/дешифровка идет на отдельных серверах, не имеющих прямого выхода в инет.
     
     
  • 8.70, Аноним (-), 14:49, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот видимо и сотрудники банков появились, видимо При том ник сам за себя гово... текст свёрнут, показать
     
     
  • 9.73, Адекват (ok), 14:59, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Мне одно не понятно - банк как сможет расшифровать ваши данные Нет, если конеч... текст свёрнут, показать
     
     
  • 10.87, qux (ok), 15:38, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Генеришь ключи, относишь на бумажечке Покупать ничего не нужно Есть онлайн-вер... текст свёрнут, показать
     
     
  • 11.122, Василий (??), 19:26, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ааа, это тот банк та система , где ключи ещё должны лежать на диске A или B ... текст свёрнут, показать
     
     
  • 12.127, Аноним (-), 20:27, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас в этих банках смарткарты и токены под собственным брендом, а линукс и мак... текст свёрнут, показать
     
  • 12.155, qux (ok), 23:19, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, лежит где положишь Система кажись эта, тут и демка какая-то есть http w... текст свёрнут, показать
     
  • 10.92, Аноним (-), 16:00, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ох, еще один питекантроп Блин, народ, куда у нас модно посылать питекантропов, ... текст свёрнут, показать
     
     
  • 11.215, Michael Shigorin (ok), 14:52, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ко криптокантропам, очевидно ... текст свёрнут, показать
     
  • 7.78, arisu (ok), 15:16, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И какими же средствами обеспечивается защита соединения ?

    для тебя, кретина, ещё раз повторяю: *соединение* защищать не надо. дальше повторяй это себе сам.

     
     
  • 8.93, Аноним (-), 16:02, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению, эти люди иной раз лезут в области где подразумевается передача ценн... текст свёрнут, показать
     
     
  • 9.94, arisu (ok), 16:06, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это да причём они даже не понимают, насколько они ничего не понимают эффект Да... текст свёрнут, показать
     
  • 6.97, Аноним (-), 16:09, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > да, все нормальные люди шифруют сами, секретными ключами. впрочем, ты с домохозяйками
    > можешь не заморачиваться, вам без разницы. не понимаю, правда, зачем тогда
    > спич о какой-то «безопасности». это, видимо, ты просто слово крутое услышал
    > — и пихаешь куда ни попадя.

    про крутые слова смешно читать от человека, постоянно использующего "спич"

     
     
  • 7.98, arisu (ok), 16:12, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > про крутые слова смешно читать от человека, постоянно использующего "спич"

    а дуракам всегда смешно. потому что дураки.

     
  • 5.37, arisu (ok), 12:55, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –6 +/
    p.s. кретин, защищать надо не «соединение», а данные. иди, осмысливай.
     
     
  • 6.39, Stellarwind (?), 13:43, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если соединение скомпрометировано, то данным можно тоже помахать ручкой, т.к. по этому соединению вам может прилететь все что угодно, внешне "похожее" на сайт банка.
     
     
  • 7.42, arisu (ok), 13:56, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    оно не «если», оно однозначно. https — иллюзия безопасности, и поэтому оно вредно. равно как и пользование «сайтами банков». увы.
     
     
  • 8.59, Адекват (ok), 14:18, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если пользоваться самоподписаными сертификатами, или же давай пруф на статью кот... текст свёрнут, показать
     
     
  • 9.72, Аноним (-), 14:54, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гуглить про comodohacker, DigiNotar и какими сайтами умел представляться этот ха... текст свёрнут, показать
     
     
  • 10.77, Адекват (ok), 15:15, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Но сейчас то никто его трюк повторить не сможет, так ... текст свёрнут, показать
     
     
  • 11.96, Аноним (-), 16:09, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Нет, не так А что принципиально изменилось с того момента Не вижу что помешает... текст свёрнут, показать
     
  • 11.107, masudi (ok), 17:00, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    откуда у тебя такие выводы ... текст свёрнут, показать
     
  • 10.109, Anonym2 (?), 17:18, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это не проблема HTTPS Проблема в некоторых CA Кто-нибудь например может выдава... текст свёрнут, показать
     
     
  • 11.117, Аноним (-), 18:30, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как бы это сказать Толпа прихлебателей, которым либа браузер по дефолту до... текст свёрнут, показать
     
  • 10.120, Аноним (-), 19:02, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кем доказано, что речь идет про го но ... текст свёрнут, показать
     
  • 10.130, Аноним (-), 21:10, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так проблема-то не в HTTPS а инфраструктуре CA ... текст свёрнут, показать
     
     
  • 11.146, Аноним (-), 22:26, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблем несколько 1 PKI - лохоразвод Сколь-нибудь надежно это может быть толь... текст свёрнут, показать
     
  • 7.145, Аноним (-), 22:16, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Если соединение скомпрометировано, то данным можно тоже помахать ручкой,

    Вообще-то, криптография ставит своей задачей в том числе и передачу данных по ненадежным каналам. Но да, такой примитивизм питекантропского мышления просто умиляет.

     
  • 6.45, crypt (ok), 13:57, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    сложно сказать, кто тут более кретин. множество сетевых атак как раз строится на неверифицированных соединениях.
     
     
  • 7.48, arisu (ok), 14:00, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    любая идея защищать *соединиение*, а не *данные* — придумана идиотами для успокоения идиотов.
     
     
  • 8.55, Аноним (-), 14:10, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какое хорошее описание OpenSSL и тех кто им пользуется ... текст свёрнут, показать
     
     
  • 9.81, arisu (ok), 15:21, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    хинт OpenSSL 8212 это ещё и библиотека алгоритмов шифрования которые можно ... текст свёрнут, показать
     
     
  • 10.99, Аноним (-), 16:24, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это да, но понимаешь ли, там SSL TLS есть, и вон то стадо долбодятлов начинает в... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 12.148, Аноним (-), 22:38, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я понимаю Кэпа Иногда очень хочется честно сказать кретину что он - кретин ... текст свёрнут, показать
     
  • 8.131, Аноним (-), 21:11, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Соединение и есть данные Просвещайся, неуч ... текст свёрнут, показать
     
     
  • 9.149, Аноним (-), 22:40, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенно не обязательно Могут быть и служебные сущности, например Но грамоте... текст свёрнут, показать
     
  • 4.68, Аноним (-), 14:45, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > тогда у меня для тебя очень плохие новости…

    Еще более плохая новость: обезьяны которые пишут этот банковский крап обычно не смогут написать даже нечто с уровнем защищенности TLS. Если кто не понял: Houston, we have a problem, http://www.theguardian.com/commentisfree/2013/sep/05/government-betrayed-inte

    Да, сейчас с безопасностью в интернете *плохо*. SSL/TLS - большой фэйк, но те индусы кто пишут клиент-банки - еще хуже и не напишут даже такое.

     
     
  • 5.83, arisu (ok), 15:23, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это совершенно не повод считать https какой-то там «защитой».
     
     
  • 6.101, Аноним (-), 16:30, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > это совершенно не повод считать https какой-то там «защитой».

    Спасибо, я в курсе свойств SSL/TLS и мне они не нравятся. За все это я и не жалую openssl. Ее авторы тоже те еще бакланы, которые могут подложить весьма неожиданных сюрпризов, ибо те еще ламеры в криптографии, судя по наблюдаемым продолбам. По крайней мере, юзануть RDRAND совсем без подмешивания сторонней энтропии - это факин шит, товарищи!!!

     
     
  • 7.136, Аноним (-), 21:55, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> это совершенно не повод считать https какой-то там «защитой».
    > Спасибо, я в курсе свойств SSL/TLS и мне они не нравятся. За
    > все это я и не жалую openssl. Ее авторы тоже те
    > еще бакланы, которые могут подложить весьма неожиданных сюрпризов, ибо те еще
    > ламеры в криптографии, судя по наблюдаемым продолбам. По крайней мере, юзануть
    > RDRAND совсем без подмешивания сторонней энтропии - это факин шит, товарищи!!!

    Пожалуйста, предложи криптографический casino-grade (как на колесах рулетки пишут) аппаратный ген энтропии стоимостью 2 бакса - и к тебе тут же выстроится двухмиллионная очередь. Озолотишься.

     
     
  • 8.151, Аноним (-), 22:44, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С казино известно много приколов Как минимум одному гражданину запретили вход в... текст свёрнут, показать
     
  • 6.178, Sem (??), 11:44, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > это совершенно не повод считать https какой-то там «защитой».

    Хватит уже изголяться. Ты альтернативу предложи.

     
  • 3.57, Аноним (-), 14:14, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым
    > текстом передавать.

    Ну передашь ты его шифрованным, только окажется что это был не тот сервер. Но никто и не пикнет.

    > Интересно как уважаемый оппонент предлагает защищать передаваемые данные от
    > подглядывания со стороны например провайдера ?

    Ну ок, выпишет некто их 100500CA сертификат прову и будет он бампать SSL. При этом браузер или кто там еще и не пикнет - а что, валидный сертификат от доверяемой CA, ничего не знаю!


     
     
  • 4.71, Адекват (ok), 14:53, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так, допустим некто организовал атаку M-I-M и стал через себя траффик пропускать... текст свёрнут, показать
     
     
  • 5.74, Аноним (-), 15:06, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем Он ставит свой сервак, который я, типа, банковский сервер SSL делается... текст свёрнут, показать
     
     
  • 6.89, Адекват (ok), 15:50, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > что это, типа, сервер банка, а вовсе и не левый сервер
    > нифига.

    Щас попробую вникнуть:

    1. Мне отравили DNS, и для меня валидным ip банка теперь считается ip злыдня
    2. Злыдни загодя заказали сертификат для моего домена (допустим CA не потребовали чтобы почта была на том же домене что и сайт) и получили его.
    3. Они разместили этот сертификат на своем https-сервере, и мой браузер обращаясь к фейковому https не чует подмены, потому что полученный сертификат проходит все проверки.

    Сомнение вызвает пункт 2 - я что могу получить сертификат для mail.ru ?

     
     
  • 7.104, Аноним (-), 16:44, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    За кадром слышен натужный скрип мозга питекантропа электричество магнетрон ... текст свёрнут, показать
     
     
  • 8.138, Аноним (-), 21:57, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Плз, не надо столько громких слов Объясни этому баклану... текст свёрнут, показать
     
     
  • 9.153, Аноним (-), 22:57, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это прежде всего лохотрон, который претендует на то что он типа, аутентификация,... текст свёрнут, показать
     
  • 2.167, Sabakwaka (ok), 02:38, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отключи heartbeat.
    И всё.
     

     ....большая нить свёрнута, показать (75)

  • 1.3, Аноним (-), 11:15, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    http://www.linuxtag.org/2012/en/program/speaker-features/featured/article/fea - автор злополучного бага (http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=bd6941cfaa31ee8a3)
     
  • 1.5, Аноним (-), 11:20, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А сколько еще неизвестных общественности критических уязвимостей. Бояться надо не то, что знаешь, а то, что не знаешь)
     
     
  • 2.11, Нанобот (ok), 11:47, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    все параноики так и делают
     
     
  • 3.53, Аноним (-), 14:04, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И правильно, ведь всё знать невозможно и повод для страха есть всегда. :)
     
     
  • 4.161, Анонимоус (?), 23:57, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А чё бояться то? Ну есть язвы, ну может у тебя давно бэкдор, мир не без "добрых" людей, и что с того? Нужно не бояться, а думать о способах обезопасить компьютер. Или читать литературу по теме. Когда-нибудь, да научишься в безопасности разбираться.
     
     
  • 5.164, Аноним (-), 01:16, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Когда-нибудь, да научишься в безопасности разбираться.

    А бояться надо того что чего-то не учел и не заметил, разумеется. То-есть, собственных продолбов.

     

  • 1.6, Аноним (-), 11:24, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот за что-то такое мы и любим nacl от дяденьки берштейна. Хорошее средство от обиронов с криптографией.
     
     
  • 2.7, arisu (ok), 11:28, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вот за что-то такое мы и любим nacl от дяденьки берштейна.

    рад за вас. где можно скачать ваши патчи к софту, который использует OpenSSL, дабы заменить его на nacl?

     
     
  • 3.21, anonymous (??), 12:06, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Нельзя. Пакет станет популярным, это вредит неуязвимости продукта.
     
     
  • 4.23, Аноним (-), 12:14, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нельзя. Пакет станет популярным, это вредит неуязвимости продукта.

    В SSL/TLS и OpenSSL как реализации вредят совсем иные вещи, как то пи...цкая навороченность с кучей опций и легаси. Секурно пользоваться этим - сложнее чем стать капитаном воздушного судна. А вот то что те кто программы пишут имеют квалификацию криптографа экстра-класса - вот это совсем не факт. Так что подстава, да.

     
  • 4.24, e.slezhuk (?), 12:15, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Синдром неуловимого Джо?
     
     
  • 5.26, Аноним (-), 12:17, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Синдром неуловимого Джо?

    Более того, хорошая криптография проверки толпой народа не боится.

     
  • 3.22, Аноним (-), 12:12, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нигде. OpenSSL (и SSL/TLS вообще) сделаны так, что секурно ими пользоваться может полтора академика, являющихся экспертами в криптографии. Тогда они смогут вызвать правильные алгоритмы и нигде не продолбаться. Сколько таких среди авторов софта - ну ты понял. А все остальные обречены продалбываться. Не говоря о том что сам протокол SSL/TLS и либа соответственно - жутко наворочены и имеют массу опций. Это гарантирует туеву хучу багов.

    ИМХО самое умное что можно сделать - просто считать что этот крап не существует. Как средство защиты данных. Не полагайся на то что это гомно сможет защитить твои данные, чтобы потом не было мучительно больно.

     
     
  • 4.30, arisu (ok), 12:40, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    мягко намекаю, что *уже* есть куча софта, которая использует OpenSSL. поскольку я вижу тут любителя nacl, то я так понимаю, что оный любитель успешно патчит софт для использования nacl (иначе он просто балабол). вот и спрашиваю: где патчи-то взять?
     
     
  • 5.41, Аноним (-), 13:47, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    При том большинство оного по факту использует сие в виде декоративной бесполезно... текст свёрнут, показать
     
     
  • 6.44, arisu (ok), 13:57, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ок. где взять замены всему софту, который использует OpenSSL, от любителей nacl? меня не интересует «отличная библиотека в вакууме», меня интересует рабочий софт. как это понятней пояснить?
     
     
  • 7.49, Аноним (-), 14:01, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > меня не интересует «отличная библиотека в вакууме», меня интересует рабочий
    > софт. как это понятней пояснить?

    "У меня полный аэродром самолетов выработавших свой ресурс! Что же мне с ними делать?"

    Ну я понимаю что ситуация досадная, вроде самолеты совсем как настоящие, даже летают в принципе, только пользоваться очень стремно. Ну вот и тут как-то так же. Софт есть. Только рабочий он по какому угодно критерию. Кроме защиты данных через SSLное шифрование. Уповать на эту защиту - себе дороже. Развалится в воздухе.

     
     
  • 8.124, Василий (??), 20:00, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть распространённые и мощные БД, есть веб-серверы, есть куча другого софта, ис... текст свёрнут, показать
     
     
  • 9.154, Аноним (-), 23:08, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну я и говорю - полон аэродром стремных самолетов с гнилыми внутренностями, кото... текст свёрнут, показать
     
  • 8.183, Sem (??), 12:05, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Угу Давайте запретим авиацию как класс, пока не создадут новые самолеты Есть в... текст свёрнут, показать
     
     
  • 9.197, Аноним (-), 02:26, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Декоративное типа, шифрование вредно хотя-бы тем что дает ложную уверенность ч... текст свёрнут, показать
     
  • 6.47, arisu (ok), 13:59, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лететь-то на чём, а? лететь *уже* надо. есть замена? нет? только вопли, что «вот этот-то точно упадёт, а наш когда-нибудь будет построен»? ок. я рад. лететь как?
     
     
  • 7.50, Аноним (-), 14:02, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > лететь-то на чём, а? лететь *уже* надо. есть замена? нет? только вопли,
    > что «вот этот-то точно упадёт, а наш когда-нибудь будет построен»? ок.
    > я рад. лететь как?

    В зависимости от - я считаю что самолета нет, или конструирую новый. Лететь на этой хреновине у которой фюзеляж в воздухе рассыпется мне не хочется, несмотря на увещевания перевозчика что это "безопасно".

     
     
  • 8.54, arisu (ok), 14:05, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ещё раз повторяю лететь надо уже 171 поехали, потом заведёшь 187 , ага ... текст свёрнут, показать
     
     
  • 9.61, Аноним (-), 14:22, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну раз надо - лети Правда у тебя интересно получается Если в дебиане лажа - он... текст свёрнут, показать
     
     
  • 10.75, arisu (ok), 15:10, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я что-то говорил про то, что в чём не надо бредить, ты перечитай мои комментари... текст свёрнут, показать
     
     
  • 11.106, Аноним (-), 16:57, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно Я не могу запатчить парой заплаток фюзеляж, который по всей поверхн... текст свёрнут, показать
     
  • 10.76, arisu (ok), 15:14, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    если всё ещё не дошло от воплей 171 а соль лучше 187 существующий софт с ... текст свёрнут, показать
     
     
  • 11.108, Аноним (-), 17:05, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, от того факта что я сказал что на самолетах с фюзеляжем выработавшим свой ре... текст свёрнут, показать
     
     
  • 12.140, Аноним (-), 22:00, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gt оверквотинг удален Откажись от уютненькой мордокниги фконтактика, связи - ... текст свёрнут, показать
     
     
  • 13.156, Аноним (-), 23:21, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сложно Ведь я ими и не начинал пользоваться Поэтому отказаться от них будет пр... текст свёрнут, показать
     
     
  • 14.166, angra (ok), 02:32, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это декоративное секурити защищает в 99 случаев От теоретического знания общ... текст свёрнут, показать
     
     
  • 15.174, Аноним (-), 10:36, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это декоративное секурити защищает лишь до тех пор, пока никто не озадачиваетс... текст свёрнут, показать
     
     
  • 16.189, Аноним (-), 12:47, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Танковая броня не защищает от прямого попадания ядерного заряда Ох печалька, уж... текст свёрнут, показать
     
     
  • 17.198, Аноним (-), 02:29, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае броня является фанерной И не защищает даже от пистолетной пули ... текст свёрнут, показать
     
     
  • 18.213, ZiNk (ok), 01:16, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    От пистолетной пули не защищает Тебе дать дамп SSL траффика, а ты его расшифруе... текст свёрнут, показать
     
  • 6.111, Anonym2 (?), 17:55, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А потом вот так через несколько годиков окажется что генератор случайных чисел у интела не совсем случайный, и чего?

    "A deterministic random-bit generator is seeded by the output from the conditioner, providing cryptographically secure random numbers to applications requesting them via the RdRand instruction"
    Уже.
    >:-)

     

     ....большая нить свёрнута, показать (30)

  • 1.14, Нанобот (ok), 11:56, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    openssh тоже в группе риска?
     
     
  • 2.15, Аноним (-), 12:00, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Конечно) Смотрите вывод команды и всё будет понятно:

    ssh -version

     
  • 2.17, Аноним (-), 12:01, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://security.stackexchange.com/questions/3424/how-is-openssl-related-to-op
    Ага. Рестартнуть придется.
     
  • 2.128, anonymous (??), 20:41, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > openssh тоже в группе риска?

    Нет. openssh использует openssl, но не tls с heartbeat. Так что, sshd не затронут.

     

  • 1.16, Аноним (-), 12:01, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для проверки серверных систем на предмет наличия уязвимости подготовлен специальный online-сервис.

    Что-то на этом сервисе все чеки проходят как ОК в отличие от http://filippo.io/Heartbleed/

     
     
  • 2.25, Аноним (-), 12:16, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > http://filippo.io/Heartbleed/

    Эм... особо предприимчивые господа уже коллекционируют пароли и ключи на своих онлайн ресурсах? Малацца, правильно, хомяк сам же и укажет свой сервак, меньше затрат ресурсов на скан интернета :)

     

  • 1.18, Аноним (-), 12:01, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эксплойт то где? А то развели шум из-за ничего )) Где гарантия что в этих 64 килобайтах будет вдруг ключ и пароль?
     
     
  • 2.38, XoRe (ok), 13:31, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Эксплойт то где? А то развели шум из-за ничего )) Где гарантия
    > что в этих 64 килобайтах будет вдруг ключ и пароль?

    А вы оставьте здесь адреса своих серверов... :)

     
     
  • 3.46, Аноним (-), 13:58, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы оставьте здесь адреса своих серверов... :)

    Да, вон там как раз пара сервисов уже. Для проверки, так сказать, сколько ключей и паролей удастся извлечь.

     
  • 2.103, Нанобот (ok), 16:42, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Где гарантия что в этих 64 килобайтах будет вдруг ключ и пароль?

    ничё себе чувак губу раскатал, гарантии ему нужны. Хочешь гарантию - покупай микроволновку

     

  • 1.27, Наивный чукотский юноша (?), 12:19, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ещё увидел в рекомендациях заново по-возможности сгенерировать сертификаты.
     
     
  • 2.158, Аноним (-), 23:24, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ещё увидел в рекомендациях заново по-возможности сгенерировать сертификаты.

    Логично. Потому что если у тебя тихой сапой уперли пароли и ключи - однажды на сервер может кто-то неожиданно припереться...

     

  • 1.52, Аноним (-), 14:04, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что случится после того как злоумышленник вытянет из сервера закрытый ключ?
     
     
  • 2.142, Аноним (-), 22:02, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что случится после того как злоумышленник вытянет из сервера закрытый ключ?

    А вот тогда и увидишь, как сервак плавно-нах становится не твоим.

     
     
  • 3.190, Аноним (-), 14:13, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это было бы круто, но я этого не увижу поскольку оргмеры рулят, потому и спрашиваю
     

  • 1.60, Аноним (-), 14:20, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    $  ssh -V
    OpenSSH_5.5p1 Debian-6+squeeze4, OpenSSL 0.9.8o 01 Jun 2010

    Цифродрочepы - цифродpoчат! :-P

     
     
  • 2.62, Аноним (-), 14:25, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Цифродрочepы - цифродpoчат! :-P

    Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей удастся утянуть.

     
     
  • 3.86, ryoken (?), 15:35, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/

    > Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей
    > удастся утянуть.

    "Тебя посодют, а ты не воруй".

     
     
  • 4.118, Аноним (-), 18:37, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > "Тебя посодют, а ты не воруй".

    Чего-то не похоже на айпишник.

     
  • 3.162, Michael Shigorin (ok), 00:26, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей
    > удастся утянуть.

    Придётся подсказать специалисту, который внимательно прочитал CVE -- 127.14.98.241.  Да, md5sum правильного ответа при вводных из #60 -- cfcd208495d565ef66e7dff9f98764da.

     
     
  • 4.175, Аноним (-), 10:42, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 127.14.98.241.

    Надеетесь что все вокруг глупые и не умеют считать битовые маски? :)

     
     
  • 5.192, Michael Shigorin (ok), 19:17, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> 127.14.98.241
    > Надеетесь что все

    Отнюдь. :)

     

  • 1.88, Аноним (-), 15:43, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В nginx под centos используется статическая линковка с openssl.
    Брали из репозитария nginx.org
     
  • 1.90, хрюкотающий зелюк (?), 15:50, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ой не верю что программист этого дела типа случайно забыл там проверку поставить...
     
     
  • 2.91, Аноним (-), 15:53, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Гонорарчик :)
     
     
  • 3.150, Аноним (-), 22:40, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну или угрозы. :)
     

  • 1.110, Аноним (-), 17:53, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вообще-то из FreeBSD только 10.0+ уязвимо..

    root@as2:~ # uname -r
    9.2-RELEASE-p3
    root@as2:~ # openssl version
    OpenSSL 0.9.8y 5 Feb 2013

     
  • 1.113, Аноним (-), 18:14, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://github.com/openssl/openssl/commit/4817504d069b4c5082161b02a22116ad75f8
     
     
  • 2.114, Аноним (-), 18:17, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.youtube.com/watch?v=3jQoAYRKqhg
    http://phk.freebsd.dk/_downloads/FOSDEM_2014.pdf
    http://video.fosdem.org/2014/
     

  • 1.125, Нанобот (ok), 20:13, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    если я правильно понял, этот баг будет проявляться только через ssl-соединения, созданные штатными средствами openssl.
    если так, то openssh не подвержен уязвимости, openvpn поверх udp - тоже
     
  • 1.137, Аноним (-), 21:57, 08/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот что происходит, когда для разработки криптографических библиотек используется С вместо безопасного языка программирования вроде rust.
     
     
  • 2.147, Аноним (-), 22:33, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Он ведь тоже на си
     
  • 2.159, Аноним (-), 23:27, 08/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот что происходит, когда для разработки криптографических библиотек используется С
    > вместо безопасного языка программирования вроде rust.

    Боюсь, SSL/TLS на чем не реализуй, а получишь не секурити а буй.

     
     
  • 3.182, iZEN (ok), 11:53, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Боюсь, SSL/TLS на чем не реализуй, а получишь не секурити а буй.

    Кстати, GnuTLS как нельзя лучше подходит под это определение.

     
     
  • 4.185, Аноним (-), 12:08, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кстати, GnuTLS как нельзя лучше подходит под это определение.

    Ты не напишешь ничего безопасного ни на каком ЯП. Ни с какой библиотекой. Потому что ламер и просто глупый субъект, не понимающий как работают компьютеры. Выращивай рассаду, может хоть там лажать не будешь.

     
     
  • 5.193, Ytch (ok), 23:35, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Выращивай рассаду, может хоть там лажать не будешь.

    Ты рискнешь что-нибудь съесть с той грядки??? Смело!

     
  • 2.184, Аноним (-), 12:07, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > безопасного языка программирования вроде rust.

    А безопасный ЯП типа rust с его garbage collector и прочим вообще позволит сказочно продолбаться в криптографии, утратив возможность сколь-нибудь предсказуео чистить память с важными данными вовремя. Но об этом скрипткидизы от мозиллы подумают чуть попозже, когда продолбаются.

     
     
  • 3.194, Аноним (-), 02:00, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > с его garbage collector

    Rust использует линейные типы с отслеживанием скопа вместо сборки мусора.
    Погуглил бы сначала, перед тем, как отвечать: http://pcwalton.github.io/blog/2013/03/18/an-overview-of-memory-management-in

     
     
  • 4.200, Аноним (-), 09:04, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Rust использует линейные типы с отслеживанием скопа вместо сборки мусора.

    А один хрен. Автоматика в таких вещах только мешается и гробит предсказуемость. Ключ должен быть изничтожен ровно в тот момент когда он перестал быть нужен. Всякие умничания суперумных аллокаторов и прочей байды будут только мешать и почем зря создадут уйму неочевидных проблем. Которые, однако, постепенно будут обнаружены исследователями и все испортят.

     
     
  • 5.207, arisu (ok), 12:38, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ключ должен быть изничтожен ровно в тот момент когда он перестал
    > быть нужен.

    у тебя руки отпали, ты надеешься на языковую магию? ок, возьми D, сделай scoped struct с деструктором, по выходу из scope деструктор всё почистит. предсказуемей некуда, и при этом сборка мусора никуда не девалась.

     
  • 5.212, Аноним (-), 16:30, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ключ должен быть изничтожен ровно в тот момент когда он перестал быть нужен.

    Ну так в чём проблема? По выходу из скопа, данные, если уникальный указатель не передан за скоп, автоматически уничтожаются деструктором. Причём всё это дело разрешается ещё на этапе компиляции, без всяких жирных рантаимов.
    Контролируемо, но в то же время без возможности выстрелить себе в ногу за пределами unsafe.

     

  • 1.163, Аноним (-), 01:13, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ухнифигасебе !! щас еще тестят StrongSWAN и либресван, есть шансы что там - тоже воспроизводимо :(
     
  • 1.181, iZEN (ok), 11:53, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Во FreeBSD закрыли этот ваш баг в SSL:
    http://www.freebsd.org/security/advisories/FreeBSD-SA-14:06.openssl.asc
    Расстраиваться не стоит.
     
     
  • 2.186, Аноним (-), 12:10, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Расстраиваться не стоит.

    Вот только стоит помнить что клиент мог получить кусок памяти сервера, а сервер - кусок памяти клиента. Так что ключи и пароли надо менять... Ять-ять-ять - привычно откликнулось эхо.

     
     
  • 3.203, iZEN (ok), 10:26, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так что ключи и пароли надо менять.

    Так это стандартная процедура, выполняемая часто и регулярно. Залог безопасности от случайной утечки. Или у вас пароли и ключи сгенерированы "на века" и менять их может только суперадмин-архитектор, когда его хорошенько попросят об этом? :)

     
     
  • 4.208, arisu (ok), 12:47, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну да, у бсдоидов смена ключей — процедура чуть ли не ежедневная. а то они в своей основной системе от m$ троянов нахватаются — и прощайте, ключики.
     

  • 1.195, Аноним (-), 02:07, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вброшу-ка сюда пару ссылок:
    Theo de Raadt: "OpenSSL has exploit mitigation countermeasures to make sure it's exploitable" (http://article.gmane.org/gmane.os.openbsd.misc/211963)
    И http://mirror.as35701.net/video.fosdem.org//2014/Janson/Sunday/NSA_operation_ — о безопасности ПО, FOSS и OpenSSL в частности.
     
     
  • 2.201, Аноним (-), 09:07, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Отлично, эти умники перехватили malloc() но сделать его в виде как ожидается от криптографической либы и не почесались. Я таки был прав в моем мнении про openssl.
     
     
  • 3.211, Xaionaro (ok), 14:47, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если я правильно понял, то почесались. Но потом за-ifdef-или защиту и забыли про это.
     

  • 1.202, Мавр (?), 10:18, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странное дело - сервис проверки (соединения на его уязвимость) указанный в статье (http://filippo.io/Heartbleed)
    очевидно не справляется с проверкой некоторых программных продуктов - проверил
    свой сервер с апачем - выдаёт, что всё окей (ну да он ещё на squeezе стоит).
    А пытаюсь ему подсунуть порт 443 от pound, что стоит у одной из пачки серверов
    как loadbalancer - говорит "heartbleed: timeout".

    У кого-нибудь есть похожие симптомы || опыт?

     
  • 1.204, Аноним (-), 12:18, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Спасибо новости, и генту-майнтейнерам, уже запилили ебилд.
     
  • 1.209, Аноним (-), 13:17, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Following up on the CVE-2014-0160 vulnerability, heartbleed We ve created some ... текст свёрнут, показать
     
  • 1.214, billybons2006 (ok), 11:07, 11/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я правильно понимаю, что если на моем сервере openssl 0.9.8e-27.el5_10.1, то данная уязвимость не могла затронуть меня?
     
     
  • 2.216, V (??), 17:26, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тебя -- точно нет ))
     
     
  • 3.217, billybons2006 (ok), 19:18, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > тебя -- точно нет ))

    Ну и ладушки. Centos 5 рулит. А ведь совсем недавно обновлялся.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру