Περισσότεροι από 300.000 servers παραμένουν ευάλωτοι στο Heartbleed

[mary]

Πριν δύο μήνες, σήμανε συναγερμός στους ειδικούς της ασφάλειας και στους χρήστες Internet όταν ένας μηχανικός της Google ανακάλυψε ένα bug, το γνωστό σήμερα ως Heartbleed, με το οποίο εκτέθηκαν σε κίνδυνο παραπάνω από 1 εκατομμύριο web servers.Μπορεί το θέμα να μην μας έχει απασχολήσει ξανά αλλά αυτό δε σημαίνει πως έχει λυθεί. Ο Robert David Graham, ερευνητής ασφαλείας, αποκαλύπτει πως τουλάχιστον 309.197 servers είναι ακόμα ευάλωτοι. Αρχικά, αμέσως μετά την ανακοίνωση έγινε γνωστό πως περίπου 1 εκατομμύριο servers παραμένουν εκτεθειμένοι στο Heartbleed. Ένα μήνα μετά, ο αριθμός των εκτεθειμένων servers έπεσε τους 318.239 ενώ το περασμένο μήνα, μόνο 9.042 servers έχουν προσπαθήσει να εμποδίσουν το bug. Αυτό το γεγονός αποτελεί αιτία ανησυχίας μιας και καταγράφει τη δυσκολία που έχουν μικρά sites να αντιμετωπίσουν το θέμα.

 

Ρίχνοντας μια πιο προσεχτική ματιά στα νούμερα, θεωρείται αρκετά πιθανό μερικές άγνωστες "γωνιές" του Διαδικτύου να παραμείνουν ευάλωτες για πολλά ακόμα χρόνια, ιδιαίτερα τώρα που ο κίνδυνος είναι γνωστός, καθώς ιστοσελίδες με αμφίβολα πρότυπα ασφαλείας μένουν εκτεθειμένα και κατ' επέκταση οι χρήστες τους.

 

Το bug, το οποίο επηρεάζει το πρωτόκολλο OpenSSL που χρησιμοποιείται ευρέως, μπορεί να προκαλέσει σοβαρή ζημιά, δίνοντας κλειδιά κρυπτογράφησης, κωδικούς, και άλλες ευαίσθητες πληροφορίες σε hackers.

 

Site: TheVerge

[VagelisDer]

Ενδιαφέρον θα έχει ειδικά όπως αναφέρεται στα μικρότερα sites.

[keysmith]

Το όνομα "heartbleed" είναι πολύ πετυχημένο πάντως.. 

[21century]

Μήπως πρέπει να ανησυχούν περισσότερο και στην Ελλάδα?

[Rib21]

Έχω έναν server στο minecraft πιάνετε??

[Raikkonen86]

Έχω έναν server στο minecraft πιάνετε??

Για webserver αναφέρεται όχι game servers...

[philippas]

Ειναι πολυ δυσκολο να παραβιαστει ενας server με το συγκεκριμενο exploit ! 64k memmory τη φορά μπορουν να διαβαστουν, θελει πολυ υπομονή... και ικανοτητες

Το cloudflare ειχε φτιαξει ενα διαγωνισμό και 14 "hackers" μπορεσαν και παραβιασαν τον demo server της εταιριας που ηταν απο τις πρωτες που εκαναν patch τους server τους (μετα απο την google και συνεργατων της)

 

So one month later, after the RFC was finalized, in March of
2012, OpenSSL went from v1.0.0 to 1.0.1 and added this extension. And unfortunately,
there was a problem with it two years ago.
In their security advisory dated the 7th of April, that's yesterday, OpenSSL said: "TLS
heartbeat read overrun," and then they gave the common vulnerability extension, the
standard CVE number. They said: "A missing bounds check in the handling of the TLS
heartbeat extension can be used to reveal up to 64k of memory to a connected client or
server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected, including 1.0.1f,"
which is the last one before "g," which happened yesterday, "and 1.0.2-beta1." They
were getting ready to do a 1.0.2 release, which is in beta. It naturally had all of the
current code from 1.0.1, which until yesterday all had this problem. And then they give
thanks to Neel Mehta of Google Security for uncovering this bug, and our friend Adam
Langley and some guy, Bodo Moeller at ACM.org, for preparing the fix.

 

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected, including 1.0.1f

 

(transcript) σελίδα 13

https://www.grc.com/sn/sn-450.pdf

 

 

Cloudflare competition

http://blog.cloudflare.com/the-heartbleed-aftermath-all-cloudflare-certificates-revoked-and-reissued

 

How to Fix

http://kb.iweb.com/entries/51156226-OpenSSL-vulnerability-The-Heartbleed-Bug

[Gameboys]

Εγώ δεν έχω καταλάβει ακριβώς. Αν αλλάξουμε κωδικό υπάρχει ακόμα κίνδυνος?

[philippas]

Για τους τελικούς χρήστες : Η σύντομη απάντηση είναι ναι

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

 

Για τους διαχειριστές: αν ο server είχε openssl  1.0.1 μέχρι 1.0.2 beta (π.χ ubuntu 12.04 LTS)

πρέπει να γίνει αναβάθμιση της βιβλιοθήκης openssl στην 1.0.1g και να παραχθούν νέα πιστοποιητικά (ssl ceritificates)