[ОТВЕТИТЬ]
09.04.2014 13:31
KirillHome
 
Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

Цитата:
Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
09.04.2014 14:44
KirillHome
 
Продолжение "разбора полётов" на хабре

Цитата:
...
Каков масштаб трагедии?

По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.

Уязвимость была/есть, как минимум, у:
7 банков
2 платежных систем
8 VPN-провайдеров
mail.yandex.ru
mail.yahoo.com


Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа.Клик (интернет-банкинг)...
09.04.2014 14:48
OlegON
 
Какая прелесть... И почему-то только сегодня всколыхнулось все... Возможно, что проблемы Google и SpamCop тоже с этим как-то связаны...
09.04.2014 17:14
grannie
 
И вправду прикольно... И сколько таких дырок ещё не обнаружено...
09.04.2014 17:39
twix
 
А это под линем, да? (%
09.04.2014 18:07
OlegON
 
Цитата:
twix А это под линем, да? (%
Я понимаю, что тебе интересно стало, как меня можно троллить, но не только под линем...
09.04.2014 18:13
twix
 
Цитата:
OlegON Я понимаю, что тебе интересно стало, как меня можно троллить, но не только под линем...
Ну... мне как бэ кажется, что солидные конторы, не завязанные на МС, крутить свои вэбы на виндах не станут. А те, кто всё-таки юзает IIS, будут использовать "родные" виндовые средства, а не чей-то некогда на коленке писаный knock-off. В противном случае и возникает необходимость в создании форумов с темами типа "проблемы apache под windows" или "как запустить kde в vista'е".
09.04.2014 18:24
OlegON
 
Если абстрагироваться от веб-сервера, как площадки для размещения сайтов, то можно вспомнить, куда апачеморду только не засовывают, в том числе и на винде. В общем, на эту тему можно долго читать вот начиная с этого.
09.04.2014 18:38
twix
 
Цитата:
OlegON Если абстрагироваться от веб-сервера, как площадки для размещения сайтов, то можно вспомнить, куда апачеморду только не засовывают, в том числе и на винде. В общем, на эту тему можно долго читать вот начиная с этого.
Ну, извращаться-то не запретишь. (;
09.04.2014 18:41
OlegON
 
Так я тебе на реальные софтинки ссылки дал, а ты - на извращение с Windows... Там большинство действий - извращение, что уж теперь...
09.04.2014 18:53
twix
 
Цитата:
OlegON Так я тебе на реальные софтинки ссылки дал, а ты - на извращение с Windows... Там большинство действий - извращение, что уж теперь...
Аххха... Типа там фотошопа, мс офиса, 1с той же. Эти "извращения", как ты выразился, используются на большем количестве выньдовых машин "рядовых потребителей", чем обсуждаемый здесь опенссль - на линуксовых (таких же рядовых потребителей). А реальными изврещениями и рукоблудоством занимаются тут. (;
09.04.2014 19:20
OlegON
 
Это все оценочные суждения :) Как говорится, в стиле "не читал, но осуждаю".
09.04.2014 19:26
twix
 
Цитата:
OlegON Это все оценочные суждения :) Как говорится, в стиле "не читал, но осуждаю".
Не хуже твоих. (;
09.04.2014 20:05
OlegON
 
После того, как я 15 лет на винде посидел? ;) Ты посиди 15 лет на Линуксе, только полностью погрузившись, тогда будешь его ругать :) Религия очень правильная, уже не раз повторяю, "если что-то не работает, виноват ты сам". Продолжать холивар предлагаю тут.
11.04.2014 07:22
OlegON
 
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

The Popular sites which exhibit support for the TLS heartbeat extension also include Twitter, Facebook, GitHub, Bank of America, DropBox are not currently vulnerable, but it is unclear that they were vulnerable few days ago.
Including Yahoo!, Flickr, Tumbler, Google, OKCupid and even the anonymous search engine DuckDuckGo was vulnerable, which has now been fixed.
Опции темы


Часовой пояс GMT +3, время: 01:26.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.