OpenForum RSS: В OpenSSL обнаружена критическая уязвимость, которая может п... https://opennet.me/openforum/vsluhforumID3/95296.html В OpenSSL выявлена (http://heartbleed.com/) одна из самых серьёзных уязвимостей (CVE-2014-0160 (https://www.openssl.org/news/secadv_20140407.txt)) в истории проекта, затрагивающих огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение. <br><br><br>Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально может быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоу В OpenSSL обнаружена критическая уязвимость, которая может п... (Dart Anyan) https://opennet.me/openforum/vsluhforumID3/95296.html#218 Mon, 14 Apr 2014 06:53:51 GMT Ничего ты не понял! Это Дарт Аньян! Как Дарт Вейдер или Дарт Сидиус, например.<br> В OpenSSL обнаружена критическая уязвимость, которая может п... (billybons2006) https://opennet.me/openforum/vsluhforumID3/95296.html#217 Fri, 11 Apr 2014 15:18:56 GMT &gt; тебя -- точно нет )) <br><br>Ну и ладушки. Centos 5 рулит. А ведь совсем недавно обновлялся.<br> В OpenSSL обнаружена критическая уязвимость, которая может п... (V) https://opennet.me/openforum/vsluhforumID3/95296.html#216 Fri, 11 Apr 2014 13:26:16 GMT тебя -- точно нет ))<br> В OpenSSL обнаружена критическая уязвимость, которая... (Michael Shigorin) https://opennet.me/openforum/vsluhforumID3/95296.html#215 Fri, 11 Apr 2014 10:52:14 GMT &gt; Ох, еще один питекантроп. Блин, народ, куда у нас модно посылать питекантропов, <br>&gt; если они не совсем безнадежные? В плане криптографических FAQ, доступных для <br>&gt; начального понимания даже питекантропам.<br><br>Ко криптокантропам, очевидно.<br> В OpenSSL обнаружена критическая уязвимость, которая может п... (billybons2006) https://opennet.me/openforum/vsluhforumID3/95296.html#214 Fri, 11 Apr 2014 07:07:10 GMT Я правильно понимаю, что если на моем сервере openssl 0.9.8e-27.el5_10.1, то данная уязвимость не могла затронуть меня?<br> В OpenSSL обнаружена критическая уязвимость, которая... (ZiNk) https://opennet.me/openforum/vsluhforumID3/95296.html#213 Thu, 10 Apr 2014 21:16:43 GMT &gt;&gt; Танковая броня не защищает от прямого попадания ядерного заряда.<br>&gt; В данном случае броня является фанерной. И не защищает даже от пистолетной <br>&gt; пули. Кстати, хороший танк рассчитывают на работу в условиях близких ядерных <br>&gt; взрывов, если что.<br><br>От пистолетной пули не защищает? Тебе дать дамп SSL траффика, а ты его расшифруешь, скажем, за неделю? Или ты только лужи газифицировать можешь?<br><br>Когда в твоём любимом nalc найдут не меньшей эпичности баг, что будешь делать? Или к тому времени уже будешь сидеть на очередном велосипеде, в котором дыр - как вшей у бомжа, но никто их не ищет, потому что нужны они кому-то, как те же вши?<br> В OpenSSL обнаружена критическая уязвимость, которая может п... (Аноним) https://opennet.me/openforum/vsluhforumID3/95296.html#212 Thu, 10 Apr 2014 12:30:46 GMT &gt; Ключ должен быть изничтожен ровно в тот момент когда он перестал быть нужен.<br><br>Ну так в чём проблема? По выходу из скопа, данные, если уникальный указатель не передан за скоп, автоматически уничтожаются деструктором. Причём всё это дело разрешается ещё на этапе компиляции, без всяких жирных рантаимов.<br>Контролируемо, но в то же время без возможности выстрелить себе в ногу за пределами unsafe.<br> В OpenSSL обнаружена критическая уязвимость, которая может п... (Xaionaro) https://opennet.me/openforum/vsluhforumID3/95296.html#211 Thu, 10 Apr 2014 10:47:01 GMT Если я правильно понял, то почесались. Но потом за-ifdef-или защиту и забыли про это.<br> В OpenSSL обнаружена критическая уязвимость, которая может п... (Аноним) https://opennet.me/openforum/vsluhforumID3/95296.html#209 Thu, 10 Apr 2014 09:17:15 GMT Following up on the CVE-2014-0160 vulnerability, heartbleed. We've created some iptables rules to block all heartbeat queries using the very powerful u32 module.<br><br>The rules allow you to mitigate systems that can't yet be patched by blocking ALL the heartbeat handshakes. We also like the capability to log external scanners :)<br><br>The rules have been specifically created for HTTPS traffic and may be adapted for other protocols; SMTPS/IMAPS/...<br><br><br># Log rules<br>iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \ "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"<br><br># Block rules<br>iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \ "52=0x18030000:0x1803FFFF" -j DROP<br><br># Wireshark rules<br>$ tshark -i interface port 443 -R 'frame[68:1] == 18'<br>$ tshark -i interface port 443 -R 'ssl.record.content_type == 24'<br><br><br>We believe that this should only be used as a temporary fix to decrease the exposure window. The log rule should allow you to test the firewall rules before bei