[ОТВЕТИТЬ]
Опции темы
09.04.2014 13:31  
KirillHome
Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

Цитата:
Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
 
"Спасибо" KirillHome от:
09.04.2014 14:44  
KirillHome
Продолжение "разбора полётов" на хабре

Цитата:
...
Каков масштаб трагедии?

По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.

Уязвимость была/есть, как минимум, у:
7 банков
2 платежных систем
8 VPN-провайдеров
mail.yandex.ru
mail.yahoo.com


Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа.Клик (интернет-банкинг)...
 
09.04.2014 14:48  
OlegON
Какая прелесть... И почему-то только сегодня всколыхнулось все... Возможно, что проблемы Google и SpamCop тоже с этим как-то связаны...
 
09.04.2014 17:14  
grannie
И вправду прикольно... И сколько таких дырок ещё не обнаружено...
 
09.04.2014 17:39  
twix
А это под линем, да? (%
 
09.04.2014 18:07  
OlegON
Цитата:
Сообщение от twix
А это под линем, да? (%
Я понимаю, что тебе интересно стало, как меня можно троллить, но не только под линем...
 
09.04.2014 18:13  
twix
Цитата:
Сообщение от OlegON
Я понимаю, что тебе интересно стало, как меня можно троллить, но не только под линем...
Ну... мне как бэ кажется, что солидные конторы, не завязанные на МС, крутить свои вэбы на виндах не станут. А те, кто всё-таки юзает IIS, будут использовать "родные" виндовые средства, а не чей-то некогда на коленке писаный knock-off. В противном случае и возникает необходимость в создании форумов с темами типа "проблемы apache под windows" или "как запустить kde в vista'е".
 
09.04.2014 18:24  
OlegON
Если абстрагироваться от веб-сервера, как площадки для размещения сайтов, то можно вспомнить, куда апачеморду только не засовывают, в том числе и на винде. В общем, на эту тему можно долго читать вот начиная с этого.
 
09.04.2014 18:38  
twix
Цитата:
Сообщение от OlegON
Если абстрагироваться от веб-сервера, как площадки для размещения сайтов, то можно вспомнить, куда апачеморду только не засовывают, в том числе и на винде. В общем, на эту тему можно долго читать вот начиная с этого.
Ну, извращаться-то не запретишь. (;
 
09.04.2014 18:41  
OlegON
Так я тебе на реальные софтинки ссылки дал, а ты - на извращение с Windows... Там большинство действий - извращение, что уж теперь...
 
 


Опции темы



Часовой пояс GMT +3, время: 01:16.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.