forum.opennet.ru

"В OpenSSL обнаружена критическая уязвимость, которая может п..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "В OpenSSL обнаружена критическая уязвимость, которая может п..."	+1 +/–
Сообщение от Аноним (-), 10-Апр-14, 16:30
> Ключ должен быть изничтожен ровно в тот момент когда он перестал быть нужен. Ну так в чём проблема? По выходу из скопа, данные, если уникальный указатель не передан за скоп, автоматически уничтожаются деструктором. Причём всё это дело разрешается ещё на этапе компиляции, без всяких жирных рантаимов. Контролируемо, но в то же время без возможности выстрелить себе в ногу за пределами unsafe.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В OpenSSL обнаружена критическая уязвимость, которая может п..., opennews, 08-Апр-14, 11:03 [смотреть все]

ай да АНБ, ай да молодцы это просто 5 , Аноним, 08-Апр-14, 11:03 (1) //
- Бритва херлона Никогда не приписывайте злому умыслу то, что вполне можно объясн, rshadow, 08-Апр-14, 13:56 (43) //
  - Ну SSL и TLS врядли по глупости были напроектирвоаны столь навороченными что ими, Аноним, 08-Апр-14, 14:12 (56)
  - а утверждения Херлона, типа, истина в последней инстанции, как суждения Папы Рим, Аноним, 08-Апр-14, 16:07 (95)
всегда говорил, что https не нужно, не нужно, не нужно , бедный буратино, 08-Апр-14, 11:12 (2) //
- Если в твоей системе с рождения присутствует уязвимость, то вся паранойя вокруг , Аноним, 08-Апр-14, 11:16 (4) //
  - извините, но в вашей ахинее я не вижу причинно-следственных связей, бедный буратино, 08-Апр-14, 11:46 (10)
  - А что не так с компилятором Он собран майнтайнерами системы, на пакете цифровая, Аноним, 08-Апр-14, 22:07 (143) //
    - А компилятор чем собирать будет маинтейнер, он же из воздуха не возьмётся Нужен, Аноним, 09-Апр-14, 06:43 (170)
      - Внезапно, до того как появились компиляторы, был мир где компиляторов не было Э, Аноним, 09-Апр-14, 09:02 (172)
        
        Твоё воображение ничего общего с реальностью не имеет , Аноним, 09-Апр-14, 10:57 (176)
        
        только твоё имеет, ага , arisu, 09-Апр-14, 11:04 (177)
        
        Д артаньян Столлман, Аноним, 09-Апр-14, 12:32 (187)
        
        Д Артаньян, залогинься , Аноним, 09-Апр-14, 11:46 (179)
        
        Легко, есть проблемы , ДАртаньян, 09-Апр-14, 12:33 (188)
        
        А где апостроф Говорят, Д Артаньян не настоящий , Аноним, 10-Апр-14, 02:13 (196)
        
        Возможно здесь от слова Dark, поклонение тёмным силами, всё такое , Анонимоус, 10-Апр-14, 08:47 (199)
        
        Ничего ты не понял Это Дарт Аньян Как Дарт Вейдер или Дарт Сидиус, например , Dart Anyan, 14-Апр-14, 10:53 (218)
- Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым текст, Адекват, 08-Апр-14, 12:02 (19) //
  - Шифровать ДО передачи по инету , 1, 08-Апр-14, 12:36 (29) //
    - А ты думаешь, как ssl работает , Анонем, 08-Апр-14, 13:44 (40)
      - еще раз зашифровать , Аноним, 08-Апр-14, 18:53 (119)
    - MS-виндоботы поражают воображение , Аноним, 08-Апр-14, 14:28 (63)
  - Раньше на всяких Клиент-банках и без ССЛ-я всё как-то работало, прикинь , t28, 08-Апр-14, 12:40 (31) //
    - До червя морриса вообще о многих вещах не парились, прикинь , XoRe, 08-Апр-14, 12:43 (34)
    - ага, потому что было отдельное диалап подключение для каждого банка , ваы, 08-Апр-14, 16:49 (105)
  - а, то есть твой говнобанк вот так и валит нешифрованый поток в соединение, надея, arisu, 08-Апр-14, 12:42 (33) //
    - А что, кто-то делает по другому А именно - вообще не использует https, прин, Адекват, 08-Апр-14, 12:46 (35)
      - да, все нормальные люди шифруют сами, секретными ключами впрочем, ты с домохозя, arisu, 08-Апр-14, 12:54 (36)
        
        И какими же средствами обеспечивается защита соединения В ручную что-ли кажд, Адекват, 08-Апр-14, 14:15 (58)
        
        Примерно так Только нет наружу соединения с таким https Шифровка дешифровка ид, balda, 08-Апр-14, 14:28 (64)
        
        А вот видимо и сотрудники банков появились, видимо При том ник сам за себя гово, Аноним, 08-Апр-14, 14:49 (70)
        
        Мне одно не понятно - банк как сможет расшифровать ваши данные Нет, если конеч, Адекват, 08-Апр-14, 14:59 (73)
        
        Генеришь ключи, относишь на бумажечке Покупать ничего не нужно Есть онлайн-вер, qux, 08-Апр-14, 15:38 (87)
        
        Ааа, это тот банк та система , где ключи ещё должны лежать на диске A или B И, Василий, 08-Апр-14, 19:26 (122)
        
        Сейчас в этих банках смарткарты и токены под собственным брендом, а линукс и мак, Аноним, 08-Апр-14, 20:27 (127)
        Нет, лежит где положишь Система кажись эта, тут и демка какая-то есть http ww, qux, 08-Апр-14, 23:19 (155)
        
        Ох, еще один питекантроп Блин, народ, куда у нас модно посылать питекантропов, , Аноним, 08-Апр-14, 16:00 (92)
        
        Ко криптокантропам, очевидно , Michael Shigorin, 11-Апр-14, 14:52 (215)
        
        для тебя, кретина, ещё раз повторяю соединение защищать не надо дальше повто, arisu, 08-Апр-14, 15:16 (78)
        
        К сожалению, эти люди иной раз лезут в области где подразумевается передача ценн, Аноним, 08-Апр-14, 16:02 (93)
        
        это да причём они даже не понимают, насколько они ничего не понимают эффект Да, arisu, 08-Апр-14, 16:06 (94)
        
        про крутые слова смешно читать от человека, постоянно использующего спич , Аноним, 08-Апр-14, 16:09 (97)
        
        а дуракам всегда смешно потому что дураки , arisu, 08-Апр-14, 16:12 (98)
      - p s кретин, защищать надо не 171 соединение 187 , а данные иди, осмысливай , arisu, 08-Апр-14, 12:55 (37)
        
        Если соединение скомпрометировано, то данным можно тоже помахать ручкой, т к по, Stellarwind, 08-Апр-14, 13:43 (39)
        
        оно не 171 если 187 , оно однозначно https 8212 иллюзия безопасности, и п, arisu, 08-Апр-14, 13:56 (42)
        
        Если пользоваться самоподписаными сертификатами, или же давай пруф на статью кот, Адекват, 08-Апр-14, 14:18 (59)
        
        Гуглить про comodohacker, DigiNotar и какими сайтами умел представляться этот ха, Аноним, 08-Апр-14, 14:54 (72)
        
        Но сейчас то никто его трюк повторить не сможет, так , Адекват, 08-Апр-14, 15:15 (77)
        
        Нет, не так А что принципиально изменилось с того момента Не вижу что помешает, Аноним, 08-Апр-14, 16:09 (96)
        откуда у тебя такие выводы , masudi, 08-Апр-14, 17:00 (107)
        
        Это не проблема HTTPS Проблема в некоторых CA Кто-нибудь например может выдават, Anonym2, 08-Апр-14, 17:18 (109)
        
        Как бы это сказать Толпа прихлебателей, которым либа браузер по дефолту до, Аноним, 08-Апр-14, 18:30 (117)
        
        Кем доказано, что речь идет про го но , Аноним, 08-Апр-14, 19:02 (120)
        Так проблема-то не в HTTPS а инфраструктуре CA , Аноним, 08-Апр-14, 21:10 (130)
        
        Проблем несколько 1 PKI - лохоразвод Сколь-нибудь надежно это может быть тольк, Аноним, 08-Апр-14, 22:26 (146)
        
        Вообще-то, криптография ставит своей задачей в том числе и передачу данных по не, Аноним, 08-Апр-14, 22:16 (145)
        
        сложно сказать, кто тут более кретин множество сетевых атак как раз строится на, crypt, 08-Апр-14, 13:57 (45)
        
        любая идея защищать соединиение , а не данные 8212 придумана идиотами для , arisu, 08-Апр-14, 14:00 (48)
        
        Какое хорошее описание OpenSSL и тех кто им пользуется , Аноним, 08-Апр-14, 14:10 (55)
        
        хинт OpenSSL 8212 это ещё и библиотека алгоритмов шифрования которые можно , arisu, 08-Апр-14, 15:21 (81)
        
        Это да, но понимаешь ли, там SSL TLS есть, и вон то стадо долбодятлов начинает в, Аноним, 08-Апр-14, 16:24 (99)
        
        Ну я понимаю Кэпа Иногда очень хочется честно сказать кретину что он - кретин , Аноним, 08-Апр-14, 22:38 (148)
        
        Соединение и есть данные Просвещайся, неуч , Аноним, 08-Апр-14, 21:11 (131)
        
        Совершенно не обязательно Могут быть и служебные сущности, например Но грамоте, Аноним, 08-Апр-14, 22:40 (149)
    - Еще более плохая новость обезьяны которые пишут этот банковский крап обычно не , Аноним, 08-Апр-14, 14:45 (68)
      - это совершенно не повод считать https какой-то там 171 защитой 187 , arisu, 08-Апр-14, 15:23 (83)
        
        Спасибо, я в курсе свойств SSL TLS и мне они не нравятся За все это я и не жалу, Аноним, 08-Апр-14, 16:30 (101)
        
        Пожалуйста, предложи криптографический casino-grade как на колесах рулетки пишу, Аноним, 08-Апр-14, 21:55 (136)
        
        С казино известно много приколов Как минимум одному гражданину запретили вход в, Аноним, 08-Апр-14, 22:44 (151)
        
        Хватит уже изголяться Ты альтернативу предложи , Sem, 09-Апр-14, 11:44 (178)
  - Ну передашь ты его шифрованным, только окажется что это был не тот сервер Но ни, Аноним, 08-Апр-14, 14:14 (57) //
    - Так, допустим некто организовал атаку M-I-M и стал через себя траффик пропускать, Адекват, 08-Апр-14, 14:53 (71)
      - Зачем Он ставит свой сервак, который я, типа, банковский сервер SSL делается, Аноним, 08-Апр-14, 15:06 (74)
        
        Щас попробую вникнуть 1 Мне отравили DNS, и для меня валидным ip банка теперь с, Адекват, 08-Апр-14, 15:50 (89)
        
        За кадром слышен натужный скрип мозга питекантропа электричество магнетрон , Аноним, 08-Апр-14, 16:44 (104)
        
        gt оверквотинг удален Плз, не надо столько громких слов Объясни этому баклану,, Аноним, 08-Апр-14, 21:57 (138)
        
        Это прежде всего лохотрон, который претендует на то что он типа, аутентификация,, Аноним, 08-Апр-14, 22:57 (153)
- Отключи heartbeat И всё , Sabakwaka, 09-Апр-14, 02:38 (167)
http www linuxtag org 2012 en program speaker-features featured article featur, Аноним, 08-Апр-14, 11:15 (3)
А сколько еще неизвестных общественности критических уязвимостей Бояться надо н, Аноним, 08-Апр-14, 11:20 (5) //
- все параноики так и делают, Нанобот, 08-Апр-14, 11:47 (11) //
  - И правильно, ведь всё знать невозможно и повод для страха есть всегда , Аноним, 08-Апр-14, 14:04 (53) //
    - А чё бояться то Ну есть язвы, ну может у тебя давно бэкдор, мир не без добрых , Анонимоус, 08-Апр-14, 23:57 (161)
      - А бояться надо того что чего-то не учел и не заметил, разумеется То-есть, собст, Аноним, 09-Апр-14, 01:16 (164)
Вот за что-то такое мы и любим nacl от дяденьки берштейна Хорошее средство от о, Аноним, 08-Апр-14, 11:24 (6) //
- рад за вас где можно скачать ваши патчи к софту, который использует OpenSSL, да, arisu, 08-Апр-14, 11:28 (7) //
  - Нельзя Пакет станет популярным, это вредит неуязвимости продукта , anonymous, 08-Апр-14, 12:06 (21) //
    - В SSL TLS и OpenSSL как реализации вредят совсем иные вещи, как то пи цкая нав, Аноним, 08-Апр-14, 12:14 (23)
    - Синдром неуловимого Джо , e.slezhuk, 08-Апр-14, 12:15 (24)
      - Более того, хорошая криптография проверки толпой народа не боится , Аноним, 08-Апр-14, 12:17 (26)
  - Нигде OpenSSL и SSL TLS вообще сделаны так, что секурно ими пользоваться може, Аноним, 08-Апр-14, 12:12 (22) //
    - мягко намекаю, что уже есть куча софта, которая использует OpenSSL поскольку , arisu, 08-Апр-14, 12:40 (30)
      - При том большинство оного по факту использует сие в виде декоративной бесполезно, Аноним, 08-Апр-14, 13:47 (41)
        
        ок где взять замены всему софту, который использует OpenSSL, от любителей nacl , arisu, 08-Апр-14, 13:57 (44)
        
        У меня полный аэродром самолетов выработавших свой ресурс Что же мне с ними де, Аноним, 08-Апр-14, 14:01 (49)
        
        Есть распространённые и мощные БД, есть веб-серверы, есть куча другого софта, ис, Василий, 08-Апр-14, 20:00 (124)
        
        Ну я и говорю - полон аэродром стремных самолетов с гнилыми внутренностями, кото, Аноним, 08-Апр-14, 23:08 (154)
        
        Угу Давайте запретим авиацию как класс, пока не создадут новые самолеты Есть ве, Sem, 09-Апр-14, 12:05 (183)
        
        Декоративное типа, шифрование вредно хотя-бы тем что дает ложную уверенность ч, Аноним, 10-Апр-14, 02:26 (197)
        
        лететь-то на чём, а лететь уже надо есть замена нет только вопли, что 17, arisu, 08-Апр-14, 13:59 (47)
        
        В зависимости от - я считаю что самолета нет, или конструирую новый Лететь на э, Аноним, 08-Апр-14, 14:02 (50)
        
        ещё раз повторяю лететь надо уже 171 поехали, потом заведёшь 187 , ага , arisu, 08-Апр-14, 14:05 (54)
        
        Ну раз надо - лети Правда у тебя интересно получается Если в дебиане лажа - он, Аноним, 08-Апр-14, 14:22 (61)
        
        я что-то говорил про то, что в чём не надо бредить, ты перечитай мои комментари, arisu, 08-Апр-14, 15:10 (75)
        
        Естественно Я не могу запатчить парой заплаток фюзеляж, который по всей поверхн, Аноним, 08-Апр-14, 16:57 (106)
        
        если всё ещё не дошло от воплей 171 а соль лучше 187 существующий софт с , arisu, 08-Апр-14, 15:14 (76)
        
        Да, от того факта что я сказал что на самолетах с фюзеляжем выработавшим свой ре, Аноним, 08-Апр-14, 17:05 (108)
        
        gt оверквотинг удален Откажись от уютненькой мордокниги фконтактика, связи - , Аноним, 08-Апр-14, 22:00 (140)
        Сложно Ведь я ими и не начинал пользоваться Поэтому отказаться от них будет пр, Аноним, 08-Апр-14, 23:21 (156)
        Это декоративное секурити защищает в 99 случаев От теоретического знания общ, angra, 09-Апр-14, 02:32 (166)
        Это декоративное секурити защищает лишь до тех пор, пока никто не озадачиваетс, Аноним, 09-Апр-14, 10:36 (174)
        Танковая броня не защищает от прямого попадания ядерного заряда Ох печалька, уж, Аноним, 09-Апр-14, 12:47 (189)
        В данном случае броня является фанерной И не защищает даже от пистолетной пули , Аноним, 10-Апр-14, 02:29 (198)
        От пистолетной пули не защищает Тебе дать дамп SSL траффика, а ты его расшифруе, ZiNk, 11-Апр-14, 01:16 (213)
        
        A deterministic random-bit generator is seeded by the output from the condition, Anonym2, 08-Апр-14, 17:55 (111)
openssh тоже в группе риска , Нанобот, 08-Апр-14, 11:56 (14) //
- Конечно Смотрите вывод команды и всё будет понятно ssh -version, Аноним, 08-Апр-14, 12:00 (15)
- http security stackexchange com questions 3424 how-is-openssl-related-to-opens, Аноним, 08-Апр-14, 12:01 (17)
- Нет openssh использует openssl, но не tls с heartbeat Так что, sshd не затрону, anonymous, 08-Апр-14, 20:41 (128)
Что-то на этом сервисе все чеки проходят как ОК в отличие от http filippo io H, Аноним, 08-Апр-14, 12:01 (16) //
- Эм особо предприимчивые господа уже коллекционируют пароли и ключи на своих о, Аноним, 08-Апр-14, 12:16 (25)
Эксплойт то где А то развели шум из-за ничего Где гарантия что в этих 64 кил, Аноним, 08-Апр-14, 12:01 (18) //
- А вы оставьте здесь адреса своих серверов , XoRe, 08-Апр-14, 13:31 (38) //
  - Да, вон там как раз пара сервисов уже Для проверки, так сказать, сколько ключей, Аноним, 08-Апр-14, 13:58 (46)
- ничё себе чувак губу раскатал, гарантии ему нужны Хочешь гарантию - покупай мик, Нанобот, 08-Апр-14, 16:42 (103)
Ещё увидел в рекомендациях заново по-возможности сгенерировать сертификаты , Наивный чукотский юноша, 08-Апр-14, 12:19 (27) //
- Логично Потому что если у тебя тихой сапой уперли пароли и ключи - однажды на с, Аноним, 08-Апр-14, 23:24 (158)
А что случится после того как злоумышленник вытянет из сервера закрытый ключ , Аноним, 08-Апр-14, 14:04 (52) //
- А вот тогда и увидишь, как сервак плавно-нах становится не твоим , Аноним, 08-Апр-14, 22:02 (142) //
  - это было бы круто, но я этого не увижу поскольку оргмеры рулят, потому и спрашив, Аноним, 09-Апр-14, 14:13 (190)
ssh -VOpenSSH_5 5p1 Debian-6 squeeze4, OpenSSL 0 9 8o 01 Jun 2010 Цифродрочep, Аноним, 08-Апр-14, 14:20 (60) //
- Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей уд, Аноним, 08-Апр-14, 14:25 (62) //
  - Тебя посодют, а ты не воруй , ryoken, 08-Апр-14, 15:35 (86) //
    - Чего-то не похоже на айпишник , Аноним, 08-Апр-14, 18:37 (118)
  - Придётся подсказать специалисту, который внимательно прочитал CVE -- 127 14 98 2, Michael Shigorin, 09-Апр-14, 00:26 (162) //
    - Надеетесь что все вокруг глупые и не умеют считать битовые маски , Аноним, 09-Апр-14, 10:42 (175)
      - Отнюдь , Michael Shigorin, 09-Апр-14, 19:17 (192)
В nginx под centos используется статическая линковка с openssl Брали из репозита, Аноним, 08-Апр-14, 15:43 (88)
Ой не верю что программист этого дела типа случайно забыл там проверку поставить, хрюкотающий зелюк, 08-Апр-14, 15:50 (90) //
- Гонорарчик , Аноним, 08-Апр-14, 15:53 (91) //
  - Ну или угрозы , Аноним, 08-Апр-14, 22:40 (150)
Вообще-то из FreeBSD только 10 0 уязвимо root as2 uname -r9 2-RELEASE-p3ro, Аноним, 08-Апр-14, 17:53 (110)
https github com openssl openssl commit 4817504d069b4c5082161b02a22116ad75f822, Аноним, 08-Апр-14, 18:14 (113) //
- https www youtube com watch v 3jQoAYRKqhghttp phk freebsd dk _downloads FOSD, Аноним, 08-Апр-14, 18:17 (114)
если я правильно понял, этот баг будет проявляться только через ssl-соединения, , Нанобот, 08-Апр-14, 20:13 (125)
Вот что происходит, когда для разработки криптографических библиотек используетс, Аноним, 08-Апр-14, 21:57 (137) //
- Он ведь тоже на си, Аноним, 08-Апр-14, 22:33 (147)
- Боюсь, SSL TLS на чем не реализуй, а получишь не секурити а буй , Аноним, 08-Апр-14, 23:27 (159) //
  - Кстати, GnuTLS как нельзя лучше подходит под это определение , iZEN, 09-Апр-14, 11:53 (182) //
    - Ты не напишешь ничего безопасного ни на каком ЯП Ни с какой библиотекой Потому, Аноним, 09-Апр-14, 12:08 (185)
      - Ты рискнешь что-нибудь съесть с той грядки Смело , Ytch, 09-Апр-14, 23:35 (193)
- А безопасный ЯП типа rust с его garbage collector и прочим вообще позволит сказо, Аноним, 09-Апр-14, 12:07 (184) //
  - Rust использует линейные типы с отслеживанием скопа вместо сборки мусора Погугли, Аноним, 10-Апр-14, 02:00 (194) //
    - А один хрен Автоматика в таких вещах только мешается и гробит предсказуемость , Аноним, 10-Апр-14, 09:04 (200)
      - у тебя руки отпали, ты надеешься на языковую магию ок, возьми D, сделай scoped , arisu, 10-Апр-14, 12:38 (207)
      - Ну так в чём проблема По выходу из скопа, данные, если уникальный указатель не , Аноним, 10-Апр-14, 16:30 (212)
ухнифигасебе щас еще тестят StrongSWAN и либресван, есть шансы что там - тоже, Аноним, 09-Апр-14, 01:13 (163)
Во FreeBSD закрыли этот ваш баг в SSL http www freebsd org security advisories, iZEN, 09-Апр-14, 11:53 (181) //
- Вот только стоит помнить что клиент мог получить кусок памяти сервера, а сервер , Аноним, 09-Апр-14, 12:10 (186) //
  - Так это стандартная процедура, выполняемая часто и регулярно Залог безопасности, iZEN, 10-Апр-14, 10:26 (203) //
    - ну да, у бсдоидов смена ключей 8212 процедура чуть ли не ежедневная а то они, arisu, 10-Апр-14, 12:47 (208)
Вброшу-ка сюда пару ссылок Theo de Raadt OpenSSL has exploit mitigation counte, Аноним, 10-Апр-14, 02:07 (195) //
- Отлично, эти умники перехватили malloc но сделать его в виде как ожидается от , Аноним, 10-Апр-14, 09:07 (201) //
  - Если я правильно понял, то почесались Но потом за-ifdef-или защиту и забыли про, Xaionaro, 10-Апр-14, 14:47 (211)
Странное дело - сервис проверки соединения на его уязвимость указанный в стать, Мавр, 10-Апр-14, 10:18 (202)
Спасибо новости, и генту-майнтейнерам, уже запилили ебилд , Аноним, 10-Апр-14, 12:18 (204)
Following up on the CVE-2014-0160 vulnerability, heartbleed We ve created some , Аноним, 10-Апр-14, 13:17 (209)
Я правильно понимаю, что если на моем сервере openssl 0 9 8e-27 el5_10 1, то дан, billybons2006, 11-Апр-14, 11:07 (214) //
- тебя -- точно нет , V, 11-Апр-14, 17:26 (216) //
  - Ну и ладушки Centos 5 рулит А ведь совсем недавно обновлялся , billybons2006, 11-Апр-14, 19:18 (217)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру