Új hozzászólás Aktív témák
-
Tigerclaw
nagyúr
Néha eszembe jut, hogy amikor megtalálnak egy ilyen "sebezhetőséget" akkor valóban csak egy bugot találnak meg vagy egy valakik által szándékosan odarakott ajtót.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
nagyúr
Szivesen latnek azert egy proof of conceptet, ertem, hogy egy sulyos bugrol van szo, de a kihasznalhatosaga szamomra kerdeses. A memoriaban levo sslv3 struktura utan levo 64k memoria erheto el, mennyi a valoszinusege annak, hogy ott kritikus _es_ visszafejtheto adat van?
while (!sleep) sheep++;
-
addikt
akartam írni, hogyha már javítva van a hiba, akkor miért csak most derült ki, de aztán láttam, hogy az 1.0.1g tegnap jelent meg.
It's a rare occurrence, like a double rainbow, or someone on the Internet saying, "You know what? You've convinced me I was wrong."
-
jFox
őstag
Ez nem most derült ki, csak most jelentették be. Hogy Hofit idézzem : "Olyan mint amikor a gyereken a guminadrág kilyukad. Nem akkor ment bele amikor kijött belőle."
Amíg nincs kijavítva, addig nem jó nagy dobra verni, mert akkor boldog-boldogtalan nekiáll hekkelni az ilyen szervereket.[ Szerkesztve ]
--==<< ...csütörtökön a lényeg, hogy egyet alszom és péntek! >>==--
-
buherton
őstag
Nem kell mindenhol összeesküvés elméletet keresni.
Programoztál már valaha?
tely, baly, fojó, mennyél, mingyárt, telyföl, tolyás, malyd, kapú, egyenlőre, ejsd, jáccani, ahoz, fúj, hüje, muszály, alat, álok, lasan, fojtatás, ál, fontós, költsön, eggyüt, lyob (jobb?), mek, mongyak, milyért - !!! Tanúlyunk már meghejjessen irni... !!!
-
az openssl emlékeim szerint nem linuxos cucc, hanem opsnbsd. a hupon volt anno hír arról, hogy az egyik fejlesztő nyilatkozta, hogy őt megkeresték, de nem vállalta. Azt simán elhiszem, hogy őt megkeresték, abban, hogy nem vállalta (és hogy azóta se???) vannak bennem kérdőjelek.
mindenesetre az tény, hogy ez a felvetésed egyáltalán nem légből kapott.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
cadeyrn
aktív tag
Ez piszkosul nem csak a webservereket jelenti ám, ssh, mail, ez mindent érint.
Szerintem írjátok át a címet. -
n00n
őstag
Ubuntu Server 12.04.4 LTS-en már ez a verzió van (tegnap vagy ma jött):
Version: 1.0.1-4ubuntu5.12
Akkor ez már védett?
-
MageRG
addikt
Hehe.
Néha nem is olyan könnyű megkülönböztetni. Pl. Ez a verseny pont arról szól, hogy tudsz C kódba backdoort csempészni úgy, hogy ha megtalálják is max hibának látszik."What is bravery, without a dash of recklessness!"
-
moli.hu
őstag
en hiaba update-elem itt a szervereimet, nekem meg mindig csak a 1.0.1f van a repositoryban. pedig itt mintha ugy beszelgetnenek rola, hogy mar kitoltak. kozponti szerver, nincs mirror. akkor most mi van?!
raadasul elkezdtem utanaolvasgatni, az alapjan nagyon nagy baj van. ha a yahoo is kiszolgaltatja idegen felhasznalok nevet es jelszavat, mert eppen benne vannak a memoriaban (gondolom most leptek be), akkor gyakorlatilag nem a saajt gepeinken levo kulcsokat, hanem az osszes jelszavunkat a vilagon le kell cserelni. persze csak az utan, hogy azokon a gepeken frissitettek a libet, ami pedig mikor tortenik meg? mindenkinek irjunk egy emailt, hogy megvan mar?
es akkor meg nem beszeltem arrol, hogy 2 ev alatt vajon milyen adat ment ki...
-
cadeyrn
aktív tag
debian wheezyre már van update, még újra is indítja az érintett processzeket (futtattam, próbáltam, teszteltem, tudom); amúgy:
http://www.openssl.org/source/[ Szerkesztve ]
-
moli.hu
őstag
ez a te geped, ennek nincs koze a no-ip-hez. a noip csak azon a reszen erintett, mikor a user/jelszavaddal megadod az uj ip-det, amire frissiteni akarsz (hogy ez milyen interfaceen tortenik, nemtom, lehet a routered, lehet a pc-den futo script (pl ez-ipupdate) vagy lehet kezzel), ezt az adatot lehet ellopni es visszaelni vele. emiatt gyakorlatilag nem egy prioritas, bar ha tudjak alcazni a geped, amire be akarsz lepni, helyettesitik egy sajattal, es nem figyelsz oda, akkor meg tudjak szerezni a jelszavad. ennel nagyobb baj, hogy a szolgaltatok is openssl-t hasznalnak, a webes levelezok, bankok, stb
@cadeyrn: raprobaltam, wheezy tenyleg oke mar, de a jessie-s desktopom meg mindig nem
[ Szerkesztve ]
-
moli.hu
őstag
a xxxxxxx.no-ip.biz IS VULNERABLE. az valoszinuleg egy szamitogepre van iranyitva a routerben, ezert az valaszolt a kerdesre, nem pedig maga a router. tehat az egyik geped frissiteni kell. a no-ip-t akkor kell frissiteni, ha a szervereik, amik rogzitik a xxxxxxx.no-ip.biz - ipcim parost, azok openssl-t hasznalnak, mert onnan meg a no-ip-s jelszavad lehet ellopni. a sajat gepedrol meg a gepedhez valo jelszot, az mas.
[ Szerkesztve ]
-
moli.hu
őstag
megjott jessie-re is.
-
shortcutme
tag
Magyarországi sebezhetőségi helyzet és javítás módja:
http://heartbleed.onloop.me/
Némileg "szerencse", hogy a hazai szervereken nincs túlságosan elterjedve az https használata, így viszonylag kevés szolgáltatást érintett a hiba.[ Szerkesztve ]
-
nagyúr
https://heartbleed.com/
What leaks in practice?
We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
@jFox:1.0.1f-ben még benne van, az meg január elején jött ki. 1.0.1-gyel implementálták, majdnem két évig rejtőzött.
[ Szerkesztve ]
Tudod, mit jelent az, hogy nemezis? Az érintett, erősebb fél kinyilatkoztatása a méltó büntetés mértékét illetően. Az érintett fél jelen esetben egy szadista állat... én.