OpenForum RSS: Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... https://www.opennet.ru/openforum/vsluhforumID3/95331.html Стали появляться (http://arstechnica.com/security/2014/04/heartbleed-vulnerability-may-have-been-exploited-months-before-patch/) свидетельства возможного применения Heartbeat-уязвимости (http://www.opennet.ru/opennews/art.shtml?num=39518) в OpenSSL (CVE-2014-0160) для совершения вредоносных действий за несколько месяцев до выявления проблемы сотрудниками компаний Google и Codenomicon. Следы одной из таких атак зафиксированы компанией MediaMonks в журналах аудита, датированных ноябрём прошлого года. Сохранённые в журналах пакеты с нескольких серверов, подозреваемых во вредоносной активности, совпали по своему характеру с пакетами, применяемыми при эксплуатации Heartbeat-уязвимости.<br><br><br><br><br><br><br><br><br><br>По мнению (https://www.schneier.com/blog/archives/2014/04/heartbleed.html) Брюса Шнайера, известного эксперта в области компьютерной безопасности, Heartbeat-уязвимость в OpenSSL следует причислить к категории катастрофических уязвимостей, уровень опасности которой составляет 11 баллов, если рассматривать существую Heartbeat-уязвимости в OpenSSL могла эксплуатироваться с ноя... (iZEN) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#215 Wed, 16 Apr 2014 14:50:38 GMT &gt;&gt;а также многие банки и финансовые сервисы <br>&gt; А как ругали карточки одноразовых кодов ВТБ-шные, а.<br>&gt; Как же, каменный век, Java, сертификаты, прогресс, СМС.<br><br>Алексей Шипилёв &#8212; Прагматика Java Memory Model: http://www.youtube.com/watch?v=iB2N8aqwtxc<br> Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... (iZEN) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#214 Sun, 13 Apr 2014 17:44:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Если в них упорствует -- он глуп.<br>&gt;&gt; Если человек хочет, но по каким-то причинам не может аргументированно поддеть <br>&gt; Если "другого человека" не пнул аргументированно только ленивый из как минимум трёх, <br>&gt; а то и четырёх местных "лагерей" (ссылки собирать лень, но если <br>&gt; так хочется сесть в лужу по полной -- можно), то "поддевать" <br>&gt; такого смысла особого нет даже любителям поглумиться.<br>&gt; Изя, пытаться в ответ на вполне конкретный и благожелательный PR (который problem <br>&gt; report) объявлять багу фичей -- глупо. Пытаться переспорить человека, который, <br>&gt; скажем так, немного лучше понимает в вопросе -- глупо в квадрате. <br>&gt; На сем позвольте откланяться, желаю скорейшего прихода в разум.<br><br>От себя лишь могу выразить сожаление о случившемся. Ты меня очень разочаровал, Миша.<br><br><br> Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#213 Sun, 13 Apr 2014 17:34:57 GMT &gt;&gt; если человек допускает детские ошибки -- он неграмотен.<br>&gt;&gt; Если в них упорствует -- он глуп.<br>&gt; Если человек хочет, но по каким-то причинам не может аргументированно поддеть<br><br>Если "другого человека" не пнул аргументированно только ленивый из как минимум трёх, а то и четырёх местных "лагерей" (ссылки собирать лень, но если так хочется сесть в лужу по полной -- можно), то "поддевать" такого смысла особого нет даже любителям поглумиться.<br><br>Изя, пытаться в ответ на вполне конкретный и благожелательный PR (который problem report) объявлять багу фичей -- глупо. Пытаться переспорить человека, который, скажем так, немного лучше понимает в вопросе -- глупо в квадрате.<br><br>На сем позвольте откланяться, желаю скорейшего прихода в разум.<br> Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... (iZEN) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#212 Sun, 13 Apr 2014 16:18:29 GMT &gt; Изя,<br><br>Давай я тебя Мичманом буду называть, хорошо?<br><br>&gt; если человек допускает детские ошибки -- он неграмотен. Если в них упорствует -- он глуп.<br><br>Если человек хочет, но по каким-то причинам не может аргументированно поддеть другого человека, то начинает "танцевать" от замечания в адрес его внешнего вида и манеры общения. Стиль дворовой шпаны (гопников, по-современному), но в ракурсе интеллигенции ("илиты" IT, по-современному).<br><br>&gt; Пожалуйста, сходите в школу, проконсультируйтесь у профильного преподавателя и не глупите.<br><br>Начни с себя. ;)<br> Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#211 Sun, 13 Apr 2014 04:14:39 GMT &gt; Кто-нибудь подскажет, ошибка при apt-get update (с https://mirrors.kernel.org/): <br>&gt; GnuTLS recv error (-9): A TLS packet with unexpected length was received. <br>&gt; Из-за исправления этой уязвимости? Как исправляется?<br><br>что GNUTLS, что GNUPG - мало того что код, вежливо говоря - написан странно, так еще и бинарники себя чудно ведут. даже версию под оффтопик - не раз ловили за "лазанием не туда", как-бы.<br><br> Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#210 Sun, 13 Apr 2014 04:07:29 GMT учитывая кем и для чего был разработан Тор, ваша ремарка - может лишь улыбку, вызвать )<br> Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#209 Sat, 12 Apr 2014 21:03:12 GMT &gt;&gt;&gt; В любой программе, сложнее "Hello World", есть баги.<br>&gt;&gt; Когда у человека обе запятые в предложении на предположительно родном языке<br>&gt;&gt; являются лишними -- как-то страшненько даже думать про то, что он может <br>&gt;&gt; накодить.<br>&gt; См. придаточные определительные.<br><br>Изя, если человек допускает детские ошибки -- он неграмотен. Если в них упорствует -- он глуп.<br><br>Пожалуйста, сходите в школу, проконсультируйтесь у профильного преподавателя и не глупите.<br> Heartbeat-уязвимость в OpenSSL могла эксплуатироваться с ноя... (iZEN) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#208 Sat, 12 Apr 2014 20:27:11 GMT &gt;&gt; В любой программе, сложнее "Hello World", есть баги.<br>&gt; Когда у человека обе запятые в предложении на предположительно родном языке являются <br>&gt; лишними -- как-то страшненько даже думать про то, что он может <br>&gt; накодить.<br><br>См. придаточные определительные. Союзное слово "которая", которым прикрепляется придаточное определительные к главному предложению, признаюсь, мне лень было писать (думал, не обратят внимание). Однако же на форуме интеллектуального бахвальства всё-таки нашёлся умник, который указал на ошибку пунктуации. :))<br> Heartbeat-уязвимости в OpenSSL могла эксплуатироваться с ноя... (XoRe) https://www.opennet.ru/openforum/vsluhforumID3/95331.html#207 Sat, 12 Apr 2014 20:03:04 GMT &gt;&gt; Если когда-нибудь лишитесь 3700 евро со счета, поймете прелесть одноразовых паролей при <br>&gt;&gt; работе с деньгами.<br>&gt; Странно, ворочаю килобаксами/килоевро по счетам уже 7 лет. Как-то пока все ок <br>&gt; (да, я очень внимательно изучаю все списки транзакций).<br><br>Тю. Атаки уровня heartbleed тоже годами не было)<br>Анализа уже совершенных транзакций мало.<br>Если счет на физ лицо, можно очень быстро вывести деньги на только что созданный кошелек qiwi/yandex/etc, потом на другой, потом вывести на какую-нибудь не именную карточку, и снять.<br>