OpenSSL бил леко "продънен"...


3

Открит е пробив в сигурността на OpenSSL. Оказва се, че данните предавани по този протокол може и да не са толкова защитени, колкото си мислим

http://www.foxnews.com/tech/2014/04/08/heartbleed-threat-puts-passwords-credit-cards-and-other-data-at-risk/

И това се случва точно в деня, в който Microsoft прекратяват поддръжката на може би най-полулярната си ОС - Windows XP. Яка миграция ще настане... :)
 

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160) ==========================================
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.
Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix.
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
1.0.2 will be fixed in 1.0.2-beta2.

P.S. Сайта на OpenSSL e яко недостъпен - явно хиляди и милиони потребители се опитват да закърпят положението.

 

Извод: ползвайте пропъртита за достъп до полетата от класовете и ВИНАГИ проверявайте дали са в желания обхват wink




Отговори



2

Ако на някой му е интересно ето -тук- има гигантски дъмп за състоянието на доста сайтове и дали са афектирани от цялата история. Като препоръка за момента се води че е добре да си смените паролите към съответният сайт когато вече не са Vulnerable (не и преди това обаче). 

P.S. А да, ето -тук- пък има доста подробна информация за бъга, какво е засегнато, какво да се прави и т.н.




2

Testing telerik.com... not vulnerable.

Testing gmail.com... not vulnerable.

Testing facebook.com... not vulnerable.

Testing abv.bg... not vulnerable.

Testing google.bg... not vulnerable.

Testing skype.com... no SSL.

Testing dir.bg... not vulnerable.

Testing sportal.bg... no SSL.

Testing vesti.bg... no SSL.

Testing gong.bg... no SSL.

...

Лично мен тези резултати ме задоволяват smiley


от plamenti (534 точки)


1
Side note: Който иска да се поразрови и да види какъв точно е проблемът, ето тук има инфо:
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
П.С. Кодът е на C

от LTsonov (4149 точки)


0
Възможността за записване на повече от колкото трябва във буфера или прочитане на повече от колкото трябва от него при C то е голяма. Това е често срещана грешка от типа Buffer overflow. Радвам се че вече проблемът е отстранен. Но за съжеление голям брой сървъри още действат на старата бъгавата версия.

от nikolap (555 точки)