Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Хостинги / Домены / Железо
»
Тема:
[ВАЖНО] Критическая уязвимость в OpenSSL! Серьезные риски!
Новая тема
Ответить
цитата
08/04/14 в 09:02
inferno[DGT]
Обнаружена критическая уязвимость в OpenSSL, рекомендую всем клиентам и коллегам-хостерам ознакомиться и принять меры по обновлению OpenSSL и сделать перевыпуск сертификатов, так как они могут быть скомпрометированы.
Подробнее тут:
http://habrahabr.ru/post/218609/
цитата
08/04/14 в 11:02
Joseph
Спасибо, чекаем.
цитата
08/04/14 в 11:15
inferno[DGT]
Проверить ваш сайт/сервер можете тут:
http://filippo.io/Heartbleed/
цитата
08/04/14 в 11:25
Stek
на centos 6.4 показывает отсутствие уязвимости. OpenSSL из дистрибутива.
цитата
08/04/14 в 11:29
inferno[DGT]
Stek:
начиная с 6.5 вроде в CentOS, более старые версии, особенно 5.x не подвержены, но лучше все равно проверять тут
http://filippo.io/Heartbleed/
цитата
08/04/14 в 12:09
Stek
Не совсем понимаю смысл уязвимости. Ну сдампят ключ с вэб сайта. Могут начать снифить трафик , если есть такая возможность, а по сути уже давно фактически не реально. Ну или сделав фейковый сайт, каким либо образом заставив клиента подключиться, могут что то намухлевать с поддельным сертификатом.
По сути, для 99% сайтов это ничем особо не грозит. Важно только банкам, биллингам и т.п. Остальные могут не особо нервничая обновиться в штатном режиме.
цитата
08/04/14 в 13:21
San_Tehnik
ubuntu 12.04 уже выпустили обновление и закрыли уязвимость.
цитата
08/04/14 в 19:13
Salis
удалено
цитата
08/04/14 в 23:13
kit
Пофиксили.
цитата
08/04/14 в 23:13
Дартаньян
kit:
цитата
09/04/14 в 13:53
FreeNet
Stek писал:
Не совсем понимаю смысл уязвимости. Ну сдампят ключ с вэб сайта. Могут начать снифить трафик , если есть такая возможность, а по сути уже давно фактически не реально. Ну или сделав фейковый сайт, каким либо образом заставив клиента подключиться, могут что то намухлевать с поддельным сертификатом.
По сути, для 99% сайтов это ничем особо не грозит. Важно только банкам, биллингам и т.п. Остальные могут не особо нервничая обновиться в штатном режиме.
Т.е. для домашнего пк даже на linux(ubuntu,centos,debian) это по сути ничем не грозит, т.е. можно получить только ту часть информации которая относится к конкретному сайту?
Что можно сделать пользователь зашёл на уязвимый сайт с уязвимым домашним openssl?
Т.е. мы только сами сертификаты теряли два года или можно было получить любую информацию из оперативки если у тебя был openssl(допустим через браузер и какие браузеры этому были подверженны)?
цитата
09/04/14 в 14:02
inferno[DGT]
Читается в 2 стороны вроде как
цитата
09/04/14 в 14:30
FreeNet
Но куски то случайные? Или в любом случае все пароли слиты?
цитата
12/04/14 в 18:48
arma
Апну.
Особенно будет полезно тем, кто еще не обновился и думает что "не страшно".
Эти ребята тоже так думали сначала:
https://blog.cloudflare.com/answering-the-critical-question-can-you- heartbleed
http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge
Куски случайные,
но можно за несколько К запросов к серверу выйтянуть куски и с уверенностью склеить в приватный ключ.
цитата
12/04/14 в 22:11
ArtistAWM
kit писал:
Пофиксили.
lastpass.com/heartbleed/?h=master-x.com
тут показывает, когда был создан сертификат. он старый и Possibly Unsafe. не пофиксено т.е.
Новая тема
Ответить
Эта страница в полной версии