ФОРУМЪТ НА ШУМЕН

Гражданска медия номер едно в град Шумен. В този форум шуменци могат да определят реда на актуалните теми.


Часова зона: UTC + 2 часа | Сега е 23 Фев 2020 3:39



Напиши нова тема Отговори на тема  [ 12 мнения ] 
Автор Съобщение
 Заглавие: Критична уязвимост в OpenSSL
МнениеПубликувано на: 09 Апр 2014 12:06 
Форумен дух
Форумен дух
Аватар

Тук е от: 11 Сеп 2010 13:57
Мнения: 1940
(автор на темата)
Цитат:
Преди няколко часа специалистите от OpenSSL Project публикуваха отчет по безопасността, в който се съобщава за критичната уязвимост CVE-2014-0160 в популярната крипторафска библиотека OpenSSL.

Уязвимостта е породена от неправилната проверка на границите в една от подпрограмите (RFC6520 за протокола TLS/DTLS). По този начин, поради малка грешка от страна на един програмист, всеки може да получи директен достъп до оперативната памет на компютъра, чиито комуникации са "защитени" чрез уязвимата версия на OpenSSL. Възможно е копиране на шифроващите ключове, имената и паролите на потребителите и по принцип до всичко, което би трябвало да е защитено чрез шифроване. При това в системата не остават никакви следи от проникването.

През месец март 2012 година, след появата на OpenSSL 1.0.1 всеки е можел да прослушва "шифрования" трафик на целия Интернет. Тази версия се използва в популярните уеб-сървъри Nginx и Apache, в пощенските сървъри, в VPN и много други програми. Вредата от този бъг е наистина много голяма.

Уязвимостта е разкрита от специалистите по информационна безопасност на Codenomicon и независимо от тях, от Нил Мехта (Neel Mehta) от отдела Google Security. Бъгът вече е подробно описан, разпространяват се ъпдейти и дори в негова чест е създаден сайта Heartbleed.com с изображение на сърце, от което тече кръв. След инсталиране на обновяванията е необходимо генерирането на нови пароли и ключове.


http://www.kaldata.com/

_________________
Изображение


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 16:07 
Титан на мисълта
Аватар

Тук е от: 22 Окт 2007 16:57
Мнения: 12273
Местоположение: The O.C.
В раздела за интересни статии от медиите има правило, освен цитат и източник, да има и коментар.
Можеш ли да коментираш как това нещо касае потребителите и какво да направят, за да са защитени ?

_________________
Клошар
http://www.prikachi.com/images/898/5395898O.png Сериал направили за мен хората.
Ако всички нарушават законите, кога ще се оправи България ?


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 16:19 
Форумен дух
Форумен дух
Аватар

Тук е от: 11 Сеп 2010 13:57
Мнения: 1940
(автор на темата)
Да.

Крайните потребители трябва да прегледат този лист с компрометирани сайтове и ако имат регистрация в някой от тях, да си смени паролата. Ако имате вход за достъп до някой от тези сайтове и паролата съвпада с други сайтове, където не е намерен този бъг, също да се смени във въпросните сайтове.

За бизнес потребителите:

1. Трябва да проверят версията на своите SSL сертификати, било то за сайтовете си, мрежите или сървърите си за наличие на незащитена версия на OpenSSL или използващи heartbeat функционалността. Може да се провери тук.

2. При наличие на бъг, следва да се пачнат пакетите до най-новата версия.

Ако на някой му е интересно как работи Heartbleed бъга нека разгледа тази картинка:

Изображение

_________________
Изображение


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 17:40 
Ветеран
Ветеран
Аватар

Тук е от: 13 Авг 2013 20:47
Мнения: 831
Skype: lamerko
От всички сайтове, които ползвам излязоха два критични - paypal.com, който го оправиха още на същия ден след като излезе бъг-а и електронното банкиране на ПиБ - те са го оправили тихомълком няколко дена след това, но пък и аз не съм влизал през тези дни. Естествено "бъг"-а е на около две години и е от такова естество, че не е допуснат случайно - просто случайно излезе наяве една много удобна вратичка за разни правителствени службички...


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 18:14 
Титан на мисълта
Аватар

Тук е от: 22 Окт 2007 16:57
Мнения: 12273
Местоположение: The O.C.
Аз мислех, че след като е https сайта е защитен, а то...
Защо трябва да сменям парола ? Ако, както каза ламерко, сайта не е оправил още това нещо, има ли смисъл да сменям парола ?

_________________
Клошар
http://www.prikachi.com/images/898/5395898O.png Сериал направили за мен хората.
Ако всички нарушават законите, кога ще се оправи България ?


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 18:26 
Форумен дух
Форумен дух
Аватар

Тук е от: 11 Сеп 2010 13:57
Мнения: 1940
(автор на темата)
Няма смисъл, но в тези, които е оправен има. Също така, както каза ламерко, този бъг го има от 2 години, та може и на скоро да не си влизал, но преди година, например си. И ако тогава някой е знаел за този, бъг, съвсем спокойно ще компрометира достъпа.

_________________
Изображение


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 18:31 
Титан на мисълта
Аватар

Тук е от: 22 Окт 2007 16:57
Мнения: 12273
Местоположение: The O.C.
Как да разбера дали е оправен бъга в някой определен сайт ?

_________________
Клошар
http://www.prikachi.com/images/898/5395898O.png Сериал направили за мен хората.
Ако всички нарушават законите, кога ще се оправи България ?


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 19:26 
Форумен дух
Форумен дух
Аватар

Тук е от: 11 Сеп 2010 13:57
Мнения: 1940
(автор на темата)
http://possible.lv/tools/hb/

_________________
Изображение


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Апр 2014 20:54 
Титан на мисълта
Аватар

Тук е от: 22 Окт 2007 16:57
Мнения: 12273
Местоположение: The O.C.
Изображение как да го разбирам ?

_________________
Клошар
http://www.prikachi.com/images/898/5395898O.png Сериал направили за мен хората.
Ако всички нарушават законите, кога ще се оправи България ?


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 16 Апр 2014 0:52 
Ветеран
Ветеран
Аватар

Тук е от: 13 Авг 2013 20:47
Мнения: 831
Skype: lamerko
Че зеленото е добре :)


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 15 Фев 2015 22:46 
Титан на мисълта
Аватар

Тук е от: 22 Окт 2007 16:57
Мнения: 12273
Местоположение: The O.C.
Цитат:
Група експерти от Google споделя подробности около опасен бъг, който засяга всички устройства, комуникиращи с SSL 3.0 криптиране. Протоколът е заменен от по-нови версии още преди 15 години, но все още се използва доста често.

Poodle или Padding Oracle On Downgraded Legacy Encryption е подобен на Heartbleed, а някои дори го наричат Poodlebleed. Той не е толкова опасен, но, стига дори едната от двете страни да не поддържа по-нов протокол за криптиране, и двете страни са застрашени. Дупката в сигурността може да се използва по всевъзможни начини, най-вече за достъп до поверителни потоци от данни.

http://hicomm.bg/internet/eksperti-ot-g ... l-byg.html


Този как се оправя ?

_________________
Клошар
http://www.prikachi.com/images/898/5395898O.png Сериал направили за мен хората.
Ако всички нарушават законите, кога ще се оправи България ?


Върнете се в началото
 Профил  
 
 Заглавие: Re: Критична уязвимост в OpenSSL
МнениеПубликувано на: 16 Фев 2015 10:05 
..:: HouSe AddIctEd ::..
..:: HouSe AddIctEd ::..
Аватар

Тук е от: 08 Яну 2007 9:15
Мнения: 1471
Местоположение: Шумен/Пловдив
Skype: simeon.flavianov
Спри да си ползваш компютъра. Гарантирам ти, че ще има и доволни във форума. :-)

_________________
Жената с мустак е като мъжа без мустак!


Върнете се в началото
 Профил  
 
Покажи мненията от миналия:  Сортирай по  
Напиши нова тема Отговори на тема  [ 12 мнения ] 


Часова зона: UTC + 2 часа | Сега е 23 Фев 2020 3:39


Информация за текущата активност

Регистрирани потребители на линия: Bing [Bot], Google [Bot]


Не можете да пускате нови теми
Не можете да отговаряте на теми
Не можете да променяте собствените си мнения
Не можете да изтривате собствените си мнения

Търсене:
cron
Powered by phpBB © 2000, 2002, 2005, 2007, 2011 и т.н. phpBB Group
Style based on FI Subice by phpBBservice.nl │ град Шумен │ Блог
Преведено от: SEO блог на Йоан Арнаудов │ Редактирано за Форума на ШуменОбяви Шумен
Съдържанието на мненията във форума, с изключение на цитатите от външни източници, е лицензирано под Creative Commons Attribution.
Използването на мненията за комерсиални или некомерсиални цели е разрешено само с хиперлинк към форума и изричното позоваване на източника.
Отговорност за мненията във форума носят само и единствено техните автори.