Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Проблемы с OpenSSL 1.0.1 и 1.0.2-beta : Сеть

28.03.2024 14:22


09.04.2014 13:31
KirillHome
 


Цитата:
Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
09.04.2014 14:44
KirillHome
 
Продолжение "разбора полётов"

Цитата:
...
Каков масштаб трагедии?

По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.

Уязвимость была/есть, как минимум, у:
7 банков
2 платежных систем
8 VPN-провайдеров
mail.yandex.ru
mail.yahoo.com


Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа.Клик (интернет-банкинг)...
09.04.2014 14:48
OlegON
 
Какая прелесть... И почему-то только сегодня всколыхнулось все... Возможно, что проблемы Google и SpamCop тоже с этим как-то связаны...
09.04.2014 17:14
grannie
 
И вправду прикольно... И сколько таких дырок ещё не обнаружено...
09.04.2014 17:39
twix
 
А это под линем, да? (%
09.04.2014 18:07
OlegON
 
Цитата:
twix А это под линем, да? (%
Я понимаю, что тебе интересно стало, как меня можно троллить, но не только под линем...
09.04.2014 18:13
twix
 
Цитата:
OlegON Я понимаю, что тебе интересно стало, как меня можно троллить, но не только под линем...
Ну... мне как бэ кажется, что солидные конторы, не завязанные на МС, крутить свои вэбы на виндах не станут. А те, кто всё-таки юзает IIS, будут использовать "родные" виндовые средства, а не чей-то некогда на коленке писаный knock-off. В противном случае и возникает необходимость в создании форумов с темами типа "проблемы apache под windows" или "как запустить kde в vista'е".
09.04.2014 18:24
OlegON
 
Если абстрагироваться от веб-сервера, как площадки для размещения сайтов, то можно вспомнить, куда апачеморду только не засовывают, в том числе и на винде. В общем, на эту тему можно долго читать вот начиная .
09.04.2014 18:38
twix
 
Цитата:
OlegON Если абстрагироваться от веб-сервера, как площадки для размещения сайтов, то можно вспомнить, куда апачеморду только не засовывают, в том числе и на винде. В общем, на эту тему можно долго читать вот начиная .
Ну, извращаться-то . (;
09.04.2014 18:41
OlegON
 
Так я тебе на реальные софтинки ссылки дал, а ты - на извращение с Windows... Там большинство действий - извращение, что уж теперь...
Часовой пояс GMT +3, время: 14:22.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.