Kom ihåg mig?
Home Menu

Menu


Heartbleed OpenSSL TLS/SSL buggish

 
Ämnesverktyg Visningsalternativ
Oläst 2014-04-09, 15:40 #11
jayzee jayzee är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Aug 2008
Inlägg: 1 089
jayzee jayzee är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Aug 2008
Inlägg: 1 089
Citat:
Ursprungligen postat av lazat Visa inlägg
Hur många av er har skapat nya nycklar /certifikat? Tydligen så räcker det inte att fixa buggen om någon redan har exploitat den..
Det enda man behöver göra är att uppgradera libssl till senaste, antigen via valfri pakethanterare eller kompilera. *OM* du använder mySQL eller dylik mjukvara samt konfigurerar denna att använda openssl till privata/publika nycklarna kan attackeraren ha kommit åt de 64kb av minnet innehållande nyckeln - då skall du byta. Annars... nej.

Senast redigerad av jayzee den 2014-04-09 klockan 15:43
jayzee är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-09, 16:30 #12
BarateaUs avatar
BarateaU BarateaU är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2007
Inlägg: 2 648
BarateaU BarateaU är inte uppkopplad
Klarade millennium-buggen
BarateaUs avatar
 
Reg.datum: Nov 2007
Inlägg: 2 648
Citat:
Ursprungligen postat av coredev Visa inlägg
Tyvärr så finns det garanterat fler buggar. Kanske inte så många av denna kalibern dock. Man kan ju bara gissa att NSA har massor med smarta personer som spenderar hela dagarna och går igenom kod för att leta svagheter.
Försöker minnas vart jag läste det nu men NSA ska tydligen ha fina avtal med exploit tjänster så de har säkert lite inhouse nissar och köper data av alla som erbjuder haxxning.
BarateaU är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-09, 18:10 #13
zeven zeven är inte uppkopplad
Medlem
 
Reg.datum: Apr 2013
Inlägg: 60
zeven zeven är inte uppkopplad
Medlem
 
Reg.datum: Apr 2013
Inlägg: 60
För den oinsatte: Vad betyder detta? Vad innebär det rent praktiskt? Finns det några åtgärder man kan göra om man t ex kör wordpress-sidor?
zeven är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-09, 19:51 #14
weetabixs avatar
weetabix weetabix är inte uppkopplad
Flitig postare
 
Reg.datum: Dec 2004
Inlägg: 311
weetabix weetabix är inte uppkopplad
Flitig postare
weetabixs avatar
 
Reg.datum: Dec 2004
Inlägg: 311
Citat:
Ursprungligen postat av zeven Visa inlägg
För den oinsatte: Vad betyder detta? Vad innebär det rent praktiskt? Finns det några åtgärder man kan göra om man t ex kör wordpress-sidor?
Kolla med ditt webbhotell att dom har tagit nödvändiga åtgärder, och om du själv använder SSL så gör en reissue av dina cert om du vill vara helt säker.
weetabix är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-10, 10:30 #15
Vebut Vebut är inte uppkopplad
Medlem
 
Reg.datum: Apr 2008
Inlägg: 263
Vebut Vebut är inte uppkopplad
Medlem
 
Reg.datum: Apr 2008
Inlägg: 263
Citat:
Ursprungligen postat av zeven Visa inlägg
Vad betyder detta?
Det betyder att med tillräckligt många attacker kan attackeraren samla på sig tillräckligt mycket data för att utläsa något vettigt ur privata minnet på servern, t.ex. lösenord, kryperingsnycklar, signaler osv.

Det var begränsat till 64kb per request/attack om jag inte läst fel någon stans, så attacken borde ju utföras under en längre tid + att attackeraren sen också måste pussla ihop allt.
Vebut är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-10, 13:01 #16
MagnusJohansson MagnusJohansson är inte uppkopplad
Nykomling
 
Reg.datum: Feb 2010
Inlägg: 43
MagnusJohansson MagnusJohansson är inte uppkopplad
Nykomling
 
Reg.datum: Feb 2010
Inlägg: 43
Jag har säkert signat upp mig på över 500 webbtjänster genom åren varav runt 150 är använda senaste två åren. Jag har dock bara fått mail från 1 tjänst där dom uppmanar mig att logga in och byta lösen.

Ska man tolka det som att många avvaktar med att informera användare tills det eventuellt visar jag att illasinnade har varit medvetna om buggen lång tid eller vad tror ni?
MagnusJohansson är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-10, 15:00 #17
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 273
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 273
Jag själv kollade min dedikerade cPanel server och den var automatiskt patchad den 8:e april så jag i changelogen. Dubbelkollade även med tjänsterna för att se om man är utsatt och klarade alla tester.

Sedan tror jag att många webbhotell automatiskt fixar detta utan att meddela kunder. Varför skapa oro om hålet automatiskt täppts.
Johnny Viking är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-10, 15:12 #18
weetabixs avatar
weetabix weetabix är inte uppkopplad
Flitig postare
 
Reg.datum: Dec 2004
Inlägg: 311
weetabix weetabix är inte uppkopplad
Flitig postare
weetabixs avatar
 
Reg.datum: Dec 2004
Inlägg: 311
Citat:
Ursprungligen postat av Johnny Viking Visa inlägg
Jag själv kollade min dedikerade cPanel server och den var automatiskt patchad den 8:e april så jag i changelogen. Dubbelkollade även med tjänsterna för att se om man är utsatt och klarade alla tester.

Sedan tror jag att många webbhotell automatiskt fixar detta utan att meddela kunder. Varför skapa oro om hålet automatiskt täppts.
Även om man var snabb på att patcha, fanns det ett fönster där det var möjligt att enkelt läsa ut information ur servrar, och det borde vara oro nog för dom som har känsliga/viktiga tjänster.

Tex kan man ha läst ut krypteringsnycklar, användaruppgifter, mm som man kan använda efteråt även om hålen är tilltäppta.
weetabix är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-10, 17:31 #19
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Citat:
Ursprungligen postat av weetabix Visa inlägg
Även om man var snabb på att patcha, fanns det ett fönster där det var möjligt att enkelt läsa ut information ur servrar, och det borde vara oro nog för dom som har känsliga/viktiga tjänster.

Tex kan man ha läst ut krypteringsnycklar, användaruppgifter, mm som man kan använda efteråt även om hålen är tilltäppta.
Fönster och fönster, det var 2 år sedan pull requesten som öppnade hålet;
https://github.com/openssl/openssl/c...2116ad75f822b1
Clarence är inte uppkopplad   Svara med citatSvara med citat
Oläst 2014-04-10, 19:39 #20
weetabixs avatar
weetabix weetabix är inte uppkopplad
Flitig postare
 
Reg.datum: Dec 2004
Inlägg: 311
weetabix weetabix är inte uppkopplad
Flitig postare
weetabixs avatar
 
Reg.datum: Dec 2004
Inlägg: 311
Citat:
Ursprungligen postat av Clarence Visa inlägg
Fönster och fönster, det var 2 år sedan pull requesten som öppnade hålet;
https://github.com/openssl/openssl/c...2116ad75f822b1
Ja, det är ett ganska stort fönster... mer som en garagedörr. =)

Dessutom skedde själva tillkännagivandet lite hastigt och slarvigt vilket inte har gett oss någon extra tid innan hålet var allmänt känt.
weetabix är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 11:34.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017