|
| Дата |
|
USD/RUB | 88.4375 | BTC/USD | 68158.8583 |
|
|
|
Хостинг и железо Обсуждаем вопросы хостинга и железа. |
08.04.2014, 10:02
|
Start Post: Критическая уязвимость в OpenSSL! Серьезные риски!
|
Аццкий хостер
Регистрация: 02.05.2007
Сообщений: 2,926
Бабло: $1733930993
|
Обнаружена критическая уязвимость в OpenSSL, рекомендую всем клиентам и коллегам-хостерам ознакомиться и принять меры по обновлению OpenSSL и сделать перевыпуск сертификатов, так как они могут быть скомпрометированы.
Подробнее тут: http://habrahabr.ru/post/218609/
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 19 лет с вами. Любые конфигурации под заказ.
|
|
|
08.04.2014, 18:03
|
#23
|
Senior Member
Регистрация: 05.04.2012
Адрес: Я... я из Ялты!
Сообщений: 90
Бабло: $28728
|
Правильно ли я понимаю, если, к примеру, не пользоваться интернет-банкингом пока не устранена уязвимость, то всё будет норм?
|
|
|
08.04.2014, 18:07
|
#24
|
Раб системы
Регистрация: 07.02.2010
Сообщений: 6,123
Бабло: $1153600
|
Хм вот на хабре пишут что надо еще поебаться некисло, что бы через эту дырку чтолибо вытащить
Цитата:
чтоб читать по 64к через UDP надо постараться и быть очень рядом в сети, реальные размеры пакетов 576, 1500 байт, много через такой свисток не выжмешь, а указывать смещения от куда читать данные возможности нет — соответсвенно, либо будешь читать из одного и того же места либо из случайных и склеить полученные данные весьма проблематично
— выкачать секретные документы через такой свисток на практике близко к невозможному
— инициализация либы происходит в порядке инициализации данных под ключи потом уже данных под соединения — соответсвенно данные что можно будет читать из хипа текущего процесса будут (вероятней всего) лежать уже после ключей и чтение будет происходить по совсем другим адресам.
— чтение слепое, нет возможности двигать окно — соответсвенно все это на удачу, реальные ключи выглядят как мусор и склеить их из нескольких пакетов задача близкая к невозможному.
— реальные сертификаты достаточно большие и не помещаются в обычные 1500 байтные пакеты, соответсвенно выкачать целиком сертификат…
В общем есть баг, серьезный, но реальная его эксплуатация это 2 ведра удачи плюс ложка интеллекта.
|
__________________
За трафом - в Bizzclick !
Огненное решение для конвертации бурж давнлоад трафика. Работаем с 2015 года. В ПМ.
|
|
|
08.04.2014, 18:14
|
#25
|
Аццкий хостер
Регистрация: 02.05.2007
Сообщений: 2,926
Бабло: $1733930993
ТС -->
|
ТС
Обновление занимает 5-10 минут времени. Ленивые могут просто наблюдать за ситуацией =) Мы продолжим обновлять сервачки наших клиентов.
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 19 лет с вами. Любые конфигурации под заказ.
|
|
|
08.04.2014, 18:16
|
#26
|
Senior Member
Регистрация: 20.04.2013
Сообщений: 109
Бабло: $23700
|
Цитата:
Сообщение от bess
Хм вот на хабре пишут что надо еще поебаться некисло, что бы через эту дырку чтолибо вытащить
|
Реально наверное потырить, это пароли в открытом виде из памяти, они же коротенькие. И не столько к конкретному сайту, сколько для пополнения базы брутфорсинга. Вобщем я буду пароли менять по-любому
|
|
|
08.04.2014, 20:25
|
#27
|
Senior Member
Регистрация: 12.07.2009
Сообщений: 1,579
Бабло: $361075
|
Объясните плз доступно. Если я арендую сервер, и у меня там стоит ispmanager, захожу на него через https, мне стоит обновляться?
|
|
|
08.04.2014, 20:35
|
#28
|
Аццкий хостер
Регистрация: 02.05.2007
Сообщений: 2,926
Бабло: $1733930993
ТС -->
|
ТС
smsupport, ну если ты не хочешь, чтобы свистанули твои пароли, с которыми ты лезешь в ISP Manager - однозначно стоит.
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 19 лет с вами. Любые конфигурации под заказ.
|
|
|
08.04.2014, 20:38
|
#29
|
Senior Member
Регистрация: 28.11.2009
Сообщений: 1,787
Бабло: $299365
|
Цитата:
Сообщение от bess
Хм вот на хабре пишут что надо еще поебаться некисло, что бы через эту дырку чтолибо вытащить
|
На боевых тачках с нормальный трафиком каждый 10 запрос выдаст тебе куку или логин+пароль для авторизации
|
|
|
08.04.2014, 21:19
|
#30
|
Senior Member
Регистрация: 05.01.2008
Сообщений: 1,666
Бабло: $213930
|
гугль хотя бы уже успел кто-то взломать то?
|
|
|
08.04.2014, 23:00
|
#31
|
Senior Member
Регистрация: 26.01.2009
Адрес: Ленинград
Сообщений: 641
Бабло: $106689
|
хороший однако день сегодня, яху буквально минут 10 назад прикрыли парсинг, райфазен только к 8 вечера
Цитата:
Сообщение от smsupport
Объясните плз доступно. Если я арендую сервер, и у меня там стоит ispmanager, захожу на него через https, мне стоит обновляться?
|
скажем так, если у тебя не мега популярный ресурс, то тебя будет теребонькать исключительно личный враг, и ему надо не просто дождаться твоего логина, но и поймать чтобы эти данные были в спарсенном куске памяти, что наверно проблематично, тк выбрать конкретную область памяти нельзя.
Последний раз редактировалось ssoleg; 08.04.2014 в 23:12.
|
|
|
|