Критическая уязвимость в OpenSSL! Серьезные риски! - Форум успешных вебмастеров - GoFuckBiz.com

inferno[DGT] · 08.04.2014, 10:02

Обнаружена критическая уязвимость в OpenSSL, рекомендую всем клиентам и коллегам-хостерам ознакомиться и принять меры по обновлению OpenSSL и сделать перевыпуск сертификатов, так как они могут быть скомпрометированы.

Подробнее тут: http://habrahabr.ru/post/218609/

Alex_M · 08.04.2014, 17:46

К слову о платежках: http://filippo.io/Heartbleed/#interkassa.com
до сих пор не исправили, написал им в поддержку, пздц демоны[/QUOTE]

Alex_M · 08.04.2014, 18:03

Правильно ли я понимаю, если, к примеру, не пользоваться интернет-банкингом пока не устранена уязвимость, то всё будет норм?

bess · 08.04.2014, 18:07

Хм вот на хабре пишут что надо еще поебаться некисло, что бы через эту дырку чтолибо вытащить

Цитата:

чтоб читать по 64к через UDP надо постараться и быть очень рядом в сети, реальные размеры пакетов 576, 1500 байт, много через такой свисток не выжмешь, а указывать смещения от куда читать данные возможности нет — соответсвенно, либо будешь читать из одного и того же места либо из случайных и склеить полученные данные весьма проблематично
— выкачать секретные документы через такой свисток на практике близко к невозможному
— инициализация либы происходит в порядке инициализации данных под ключи потом уже данных под соединения — соответсвенно данные что можно будет читать из хипа текущего процесса будут (вероятней всего) лежать уже после ключей и чтение будет происходить по совсем другим адресам.
— чтение слепое, нет возможности двигать окно — соответсвенно все это на удачу, реальные ключи выглядят как мусор и склеить их из нескольких пакетов задача близкая к невозможному.
— реальные сертификаты достаточно большие и не помещаются в обычные 1500 байтные пакеты, соответсвенно выкачать целиком сертификат…
В общем есть баг, серьезный, но реальная его эксплуатация это 2 ведра удачи плюс ложка интеллекта.

inferno[DGT] · 08.04.2014, 18:14

Обновление занимает 5-10 минут времени. Ленивые могут просто наблюдать за ситуацией =) Мы продолжим обновлять сервачки наших клиентов.

скабичевский · 08.04.2014, 18:16

Цитата:

Сообщение от bess

Хм вот на хабре пишут что надо еще поебаться некисло, что бы через эту дырку чтолибо вытащить

Реально наверное потырить, это пароли в открытом виде из памяти, они же коротенькие. И не столько к конкретному сайту, сколько для пополнения базы брутфорсинга. Вобщем я буду пароли менять по-любому

smsupport · 08.04.2014, 20:25

Объясните плз доступно. Если я арендую сервер, и у меня там стоит ispmanager, захожу на него через https, мне стоит обновляться?

inferno[DGT] · 08.04.2014, 20:35

smsupport, ну если ты не хочешь, чтобы свистанули твои пароли, с которыми ты лезешь в ISP Manager - однозначно стоит.

rushter · 08.04.2014, 20:38

Цитата:

Сообщение от bess

Хм вот на хабре пишут что надо еще поебаться некисло, что бы через эту дырку чтолибо вытащить

На боевых тачках с нормальный трафиком каждый 10 запрос выдаст тебе куку или логин+пароль для авторизации

creator123 · 08.04.2014, 21:19

гугль хотя бы уже успел кто-то взломать то?

ssoleg · 08.04.2014, 23:00

хороший однако день сегодня, яху буквально минут 10 назад прикрыли парсинг, райфазен только к 8 вечера

Цитата:

Сообщение от smsupport

Объясните плз доступно. Если я арендую сервер, и у меня там стоит ispmanager, захожу на него через https, мне стоит обновляться?

скажем так, если у тебя не мега популярный ресурс, то тебя будет теребонькать исключительно личный враг, и ему надо не просто дождаться твоего логина, но и поймать чтобы эти данные были в спарсенном куске памяти, что наверно проблематично, тк выбрать конкретную область памяти нельзя.