Master-X
Форум | Новости | Статьи
Главная » Форум » Хостинги / Домены / Железо » 
Тема: [ВАЖНО] Критическая уязвимость в OpenSSL! Серьезные риски!
цитата
08/04/14 в 09:02
 inferno[DGT]
Обнаружена критическая уязвимость в OpenSSL, рекомендую всем клиентам и коллегам-хостерам ознакомиться и принять меры по обновлению OpenSSL и сделать перевыпуск сертификатов, так как они могут быть скомпрометированы.

Подробнее тут: http://habrahabr.ru/post/218609/
цитата
08/04/14 в 11:02
 Joseph
Спасибо, чекаем.
цитата
08/04/14 в 11:15
 inferno[DGT]
Проверить ваш сайт/сервер можете тут: http://filippo.io/Heartbleed/
цитата
08/04/14 в 11:25
 Stek
на centos 6.4 показывает отсутствие уязвимости. OpenSSL из дистрибутива.
цитата
08/04/14 в 11:29
 inferno[DGT]
Stek: начиная с 6.5 вроде в CentOS, более старые версии, особенно 5.x не подвержены, но лучше все равно проверять тут http://filippo.io/Heartbleed/
цитата
08/04/14 в 12:09
 Stek
Не совсем понимаю смысл уязвимости. Ну сдампят ключ с вэб сайта. Могут начать снифить трафик , если есть такая возможность, а по сути уже давно фактически не реально. Ну или сделав фейковый сайт, каким либо образом заставив клиента подключиться, могут что то намухлевать с поддельным сертификатом.

По сути, для 99% сайтов это ничем особо не грозит. Важно только банкам, биллингам и т.п. Остальные могут не особо нервничая обновиться в штатном режиме.
цитата
08/04/14 в 13:21
 San_Tehnik
ubuntu 12.04 уже выпустили обновление и закрыли уязвимость.
цитата
08/04/14 в 19:13
 Salis
удалено
цитата
08/04/14 в 23:13
 kit
Пофиксили.
цитата
08/04/14 в 23:13
 Дартаньян
kit: icon_wink.gif
цитата
09/04/14 в 13:53
 FreeNet
Stek писал:
Не совсем понимаю смысл уязвимости. Ну сдампят ключ с вэб сайта. Могут начать снифить трафик , если есть такая возможность, а по сути уже давно фактически не реально. Ну или сделав фейковый сайт, каким либо образом заставив клиента подключиться, могут что то намухлевать с поддельным сертификатом.

По сути, для 99% сайтов это ничем особо не грозит. Важно только банкам, биллингам и т.п. Остальные могут не особо нервничая обновиться в штатном режиме.

Т.е. для домашнего пк даже на linux(ubuntu,centos,debian) это по сути ничем не грозит, т.е. можно получить только ту часть информации которая относится к конкретному сайту?
Что можно сделать пользователь зашёл на уязвимый сайт с уязвимым домашним openssl? Т.е. мы только сами сертификаты теряли два года или можно было получить любую информацию из оперативки если у тебя был openssl(допустим через браузер и какие браузеры этому были подверженны)?
цитата
09/04/14 в 14:02
 inferno[DGT]
Читается в 2 стороны вроде как
цитата
09/04/14 в 14:30
 FreeNet
Но куски то случайные? Или в любом случае все пароли слиты?
цитата
12/04/14 в 18:48
 arma
Апну.

Особенно будет полезно тем, кто еще не обновился и думает что "не страшно".
Эти ребята тоже так думали сначала:

https://blog.cloudflare.com/answering-the-critical-question-can-you-…heartbleed
http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge

Куски случайные,
но можно за несколько К запросов к серверу выйтянуть куски и с уверенностью склеить в приватный ключ.
цитата
12/04/14 в 22:11
 ArtistAWM
kit писал:
Пофиксили.

lastpass.com/heartbleed/?h=master-x.com

тут показывает, когда был создан сертификат. он старый и Possibly Unsafe. не пофиксено т.е.


Эта страница в полной версии