voltmod Δημοσ. 8 Απριλίου 2014 Δημοσ. 8 Απριλίου 2014 Το OpenSSL project έδωσε στη δημοσιότητα πληροφορίες για μία καταστροφική ευπάθεια στα πρωτόκολλα SSL/ TSL που θα μπορούσε να εκθέσει κρυπτογραφικά κλειδιά και ιδιωτικές επικοινωνίες από μερικές από τις πιο σπουδαίες ιστοσελίδες και υπηρεσίες στο Internet.Αν «τρέχετε» κάποιο server με OpenSSL 1.0.1 έως 1.0.1f είναι απολύτως απαραίτητο να αναβαθμίσετε σε OpenSSL 1.0.1g άμεσα. Οι εγκαταστάσεις του OpenSSL πριν την έκδοση 1.0.1 δεν επηρεάζονται από το κενό ασφάλειας, ωστόσο οι χρήστες του OpenSSL 1.0.2-beta υποχρεώνονται και αυτοί να αντιμετωπίσουν την ευπάθεια. Το Heartbleed.com έχει αναρτήσει μία λεπτομερή επεξήγηση για το πρόβλημα, το οποίο εντοπίζεται στα SSL/ TSL πρωτόκολλα (Secure Sockets Layer, Transport Security Layer) κρυπτογράφησης του ανοιχτού λογισμικού OpenSSL που χρησιμοποιείται για τη δημιουργία πιστοποιητικών διακομιστών. Το πρόβλημα που επηρεάζει μερικές παλαιότερες εκδόσεις του ιδιαίτερα δημοφιλούς internet encryption λογισμικού, δίνει τη δυνατότητα στον επιτιθέμενο να υποκλέψει ασφαλές περιεχόμενο αλλά και τα κλειδιά κρυπτογράφησης που ασφαλίζουν το συγκεκριμένο περιεχόμενο. Πρόκειται για μία ακόμα πιο σημαντική ευπάθεια από αυτή του SSL bug της Apple που άφηνε εκτεθειμένα τα συστήματα σε επιθέσεις τύπου man-in-the-middle, επειδή το Heartbleed bug επηρεάζει τη κίνηση και αποκαλύπτει κρυπτογραφημένα κλειδιά που θα μπορούσαν να οδηγήσουν σε ένα σωρό άλλους «συμβιβασμούς» ενώ είναι πιθανό να επηρεάζει το 66% των ιστοσελίδων παγκοσμίως. Το bug ανακαλύφθηκε ανεξάρτητα από την εταιρεία ασφάλειας Codenomicon και ένα μηχανικό ασφάλειας της Google. Πριν δημοσιοποιηθεί η ευπάθεια, ένας αριθμός παρόχων OpenSSL (ψηφιακών πιστοποιητικών διακομιστή) ειδοποιήθηκαν για να τους δοθεί χρόνος να αντιμετωπίσουν την ευπάθεια πριν γνωστοποιηθεί. Παρόλα αυτά, δεν είναι όλοι έτοιμοι και επομένως ορισμένοι θα χρειαστούν κάποιες ώρες για να ετοιμάσουν σχετικό patch. Site: TheNextWeb
Moderators Praetorian Δημοσ. 8 Απριλίου 2014 Moderators Δημοσ. 8 Απριλίου 2014 Σε Ubuntu 12.04 το apt-get έφερε νέα έκδοση, αλλά μετά το apt-get upgrade η έκδοση παραμένει ως "1.0.1 14 Mar 2012" (από openssl version -a). Ωστόσο, αν το dpkg -s openssl | grep Version Δίνει Version: 1.0.1-4ubuntu5.12ή νεότερο (που αυτό δίνει), τότε έχουμε την νέα (fixed) έκδοση. Πηγή: http://schof.org/2014/04/07/heartbleed-openssl-vulnerability-and-ubuntu-12-04-precise-servers/ http://serverfault.com/questions/587324/heartbleed-how-to-reliably-and-portably-check-the-openssl-version
Moderators Gi0 Δημοσ. 8 Απριλίου 2014 Moderators Δημοσ. 8 Απριλίου 2014 Fun fact: το site του OpenSSL ειναι ακομα ευπαθες 6
Επισκέπτης Δημοσ. 8 Απριλίου 2014 Δημοσ. 8 Απριλίου 2014 Για Debian/Ubuntu θέλει reload ο apache/nginx μετά το upgrade: σε 2 αντίστοιχα VMs βλέπω πχ το εξής τώρα: Ubuntu: # openssl version -a OpenSSL 1.0.1 14 Mar 2012 built on: Mon Apr 7 20:33:29 UTC 2014 platform: debian-amd64 Debian: # openssl version -a OpenSSL 1.0.1e 11 Feb 2013 built on: Mon Apr 7 20:32:27 UTC 2014 platform: debian-amd64 Περισσότερα εδω: http://heartbleed.com/
copydisk Δημοσ. 8 Απριλίου 2014 Δημοσ. 8 Απριλίου 2014 Fun fact: το site του OpenSSL ειναι ακομα ευπαθες και του heartbleed το ίδιο 1
-TRANE- Δημοσ. 8 Απριλίου 2014 Δημοσ. 8 Απριλίου 2014 προσοχή γιατί εχει θικτεί και το steamdb. Δε κανε log in/log out σε οσα site λεει sign in through steam.
kissMA Δημοσ. 9 Απριλίου 2014 Δημοσ. 9 Απριλίου 2014 Συμβαίνει και στις καλύτερες οικογένειες. Το πρόβλημα είναι οτι οι περισσότεροι δεν θα το πάρουν χαμπάρι και θα μείνουν με την έκδοση που έχουν ή θα αναβαθμίσουν αργότερα.
mobinmob Δημοσ. 9 Απριλίου 2014 Δημοσ. 9 Απριλίου 2014 Να δω πότε θα αρχίσουμε να βασιζόμαστε σε μια υλοποίηση χωρίς τα προβλήματα της openssl... Από το undeadly (http://undeadly.org/cgi?action=article&sid=20140408063423) έπεσα πάνω σε αυτό το διαμάντι: http://thread.gmane.org/gmane.os.openbsd.misc/211952/focus=211963
Pantelwolf Δημοσ. 9 Απριλίου 2014 Δημοσ. 9 Απριλίου 2014 ^^ on thathttps://www.peereboom.us/assl/assl/html/openssl.html 2
mobinmob Δημοσ. 9 Απριλίου 2014 Δημοσ. 9 Απριλίου 2014 ^^ on that https://www.peereboom.us/assl/assl/html/openssl.html Κλασσικό Ο συγγραφέας του έχει γράψει την assl: https://opensource.conformal.com/wiki/Agglomerated_SSL Το post του theo έφτασε στο hn: https://news.ycombinator.com/item?id=7558199
firewalker Δημοσ. 9 Απριλίου 2014 Δημοσ. 9 Απριλίου 2014 Έκανε κανείς καμιά δοκιμή με τα site Ελληνικών τραπεζών; Trololololol. http://privatekeycheck.com/ 1
panther_512 Δημοσ. 9 Απριλίου 2014 Δημοσ. 9 Απριλίου 2014 Η πλατφόρμα Tumblr της Yahoo συμβουλεύει το κοινό να αλλάξει άμεσα όλους τους κωδικούς του, με προτεραιότητα σε αυτούς που αφορούν email, αποθηκευτικούς χώρους και τραπεζικές συναλλαγές. Οι δυνατότητες που δίνει στους χάκερς το συγκεκριμένο κενό ασφαλείας, κάνει αδύνατο να διαπιστωθεί αν έχει αξιοποιηθεί πρίν από την ανακάλυψή του, αν και ειδικοί στα θέματα ασφαλείας, όπως ο Bruce Schneider θεωρούν βέβαιο ότι στο διάστημα των 2 αυτών χρόνων έχουν σίγουρα υποκλαπεί τα δεδομένα όλων όσων έγιναν στόχοι από χάκερς ή υπηρεσίες πληροφοριών. Η σοβαρότητα του κενού ασφαλείας θεωρείται καταστροφική. Η Google φρόντισε να ενημερώσει διάφορους οργανισμούς πρίν να δημοσιεύσει το πρόβλημα και ήδη γίνονται updates για διόρθωση του κενού ασφαλείας, ενώ υπάρχουν sites όπου μπορείτε να δείτε αν ο server που θα του δείξετε έχει ακόμα το κενό ασφαλείας. πηγή: BBC
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα