Προς το περιεχόμενο

Τρομερή ευπάθεια στο OpenSSL. Απαραίτητη η αναβάθμιση για διαχειριστές


voltmod

Προτεινόμενες αναρτήσεις

Το OpenSSL project έδωσε στη δημοσιότητα πληροφορίες για μία καταστροφική ευπάθεια στα πρωτόκολλα SSL/ TSL που θα μπορούσε να εκθέσει κρυπτογραφικά κλειδιά και ιδιωτικές επικοινωνίες από μερικές από τις πιο σπουδαίες ιστοσελίδες και υπηρεσίες στο Internet.Αν «τρέχετε» κάποιο server με OpenSSL 1.0.1 έως 1.0.1f είναι απολύτως απαραίτητο να αναβαθμίσετε σε OpenSSL 1.0.1g άμεσα. Οι εγκαταστάσεις του OpenSSL πριν την έκδοση 1.0.1 δεν επηρεάζονται από το κενό ασφάλειας, ωστόσο οι χρήστες του OpenSSL 1.0.2-beta υποχρεώνονται και αυτοί να αντιμετωπίσουν την ευπάθεια.

 

Το Heartbleed.com έχει αναρτήσει μία λεπτομερή επεξήγηση για το πρόβλημα, το οποίο εντοπίζεται στα SSL/ TSL πρωτόκολλα (Secure Sockets Layer, Transport Security Layer) κρυπτογράφησης του ανοιχτού λογισμικού OpenSSL που χρησιμοποιείται για τη δημιουργία πιστοποιητικών διακομιστών. Το πρόβλημα που επηρεάζει μερικές παλαιότερες εκδόσεις του ιδιαίτερα δημοφιλούς internet encryption λογισμικού, δίνει τη δυνατότητα στον επιτιθέμενο να υποκλέψει ασφαλές περιεχόμενο αλλά και τα κλειδιά κρυπτογράφησης που ασφαλίζουν το συγκεκριμένο περιεχόμενο.

 

Πρόκειται για μία ακόμα πιο σημαντική ευπάθεια από αυτή του SSL bug της Apple που άφηνε εκτεθειμένα τα συστήματα σε επιθέσεις τύπου man-in-the-middle, επειδή το Heartbleed bug επηρεάζει τη κίνηση και αποκαλύπτει κρυπτογραφημένα κλειδιά που θα μπορούσαν να οδηγήσουν σε ένα σωρό άλλους «συμβιβασμούς» ενώ είναι πιθανό να επηρεάζει το 66% των ιστοσελίδων παγκοσμίως.

 

Το bug ανακαλύφθηκε ανεξάρτητα από την εταιρεία ασφάλειας Codenomicon και ένα μηχανικό ασφάλειας της Google. Πριν δημοσιοποιηθεί η ευπάθεια, ένας αριθμός παρόχων OpenSSL (ψηφιακών πιστοποιητικών διακομιστή) ειδοποιήθηκαν για να τους δοθεί χρόνος να αντιμετωπίσουν την ευπάθεια πριν γνωστοποιηθεί. Παρόλα αυτά, δεν είναι όλοι έτοιμοι και επομένως ορισμένοι θα χρειαστούν κάποιες ώρες για να ετοιμάσουν σχετικό patch.

Link.png Site: TheNextWeb

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Moderators

Σε Ubuntu 12.04 το apt-get έφερε νέα έκδοση, αλλά μετά το apt-get upgrade η έκδοση παραμένει ως "1.0.1 14 Mar 2012" (από openssl version -a).

 

Ωστόσο, αν το

dpkg -s openssl | grep Version
Δίνει

Version: 1.0.1-4ubuntu5.12
ή νεότερο (που αυτό δίνει), τότε έχουμε την νέα (fixed) έκδοση.

 

Πηγή:

http://schof.org/2014/04/07/heartbleed-openssl-vulnerability-and-ubuntu-12-04-precise-servers/

http://serverfault.com/questions/587324/heartbleed-how-to-reliably-and-portably-check-the-openssl-version

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Για Debian/Ubuntu θέλει reload ο apache/nginx  μετά το upgrade:

 

σε 2 αντίστοιχα VMs βλέπω πχ το εξής τώρα:

 

Ubuntu:

# openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64
 
Debian:
# openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:32:27 UTC 2014
platform: debian-amd64
 
Περισσότερα εδω: http://heartbleed.com/
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Συμβαίνει και στις καλύτερες οικογένειες. Το πρόβλημα είναι οτι οι περισσότεροι δεν θα το πάρουν χαμπάρι και θα μείνουν με την έκδοση που έχουν ή θα αναβαθμίσουν αργότερα.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Να δω πότε θα αρχίσουμε να βασιζόμαστε σε μια υλοποίηση χωρίς τα προβλήματα της openssl...

Από το undeadly (http://undeadly.org/cgi?action=article&sid=20140408063423) έπεσα πάνω σε αυτό το διαμάντι: http://thread.gmane.org/gmane.os.openbsd.misc/211952/focus=211963

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Κλασσικό B)

Ο συγγραφέας του έχει γράψει την assl: https://opensource.conformal.com/wiki/Agglomerated_SSL

Το post του theo έφτασε στο hn: https://news.ycombinator.com/item?id=7558199

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Η πλατφόρμα Tumblr της Yahoo συμβουλεύει το κοινό να αλλάξει άμεσα όλους τους κωδικούς του, με προτεραιότητα σε αυτούς που αφορούν email, αποθηκευτικούς χώρους και τραπεζικές συναλλαγές.

 

Οι δυνατότητες που δίνει στους χάκερς το συγκεκριμένο κενό ασφαλείας, κάνει αδύνατο να διαπιστωθεί αν έχει αξιοποιηθεί πρίν από την ανακάλυψή του, αν και ειδικοί στα θέματα ασφαλείας, όπως ο Bruce Schneider θεωρούν βέβαιο ότι στο διάστημα των 2 αυτών χρόνων έχουν σίγουρα υποκλαπεί τα δεδομένα όλων όσων έγιναν στόχοι από χάκερς ή υπηρεσίες πληροφοριών.

 

Η σοβαρότητα του κενού ασφαλείας θεωρείται καταστροφική. Η Google φρόντισε να ενημερώσει διάφορους οργανισμούς πρίν να δημοσιεύσει το πρόβλημα και ήδη γίνονται updates για διόρθωση του κενού ασφαλείας, ενώ υπάρχουν sites όπου μπορείτε να δείτε αν ο server που θα του δείξετε έχει ακόμα το κενό ασφαλείας.

 

πηγή: BBC

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...