Πριν μερικές ώρες ανακοινώθηκε σοβαρό κενό ασφαλείας στο OpenSSL, συγκεκριμένα στην έκδοση 1.0.1 έως και την 1.0.1f. Το πακέτο αυτό χρησιμοποιείται κατά κόρον για κρυπτογράφηση, ταυτοποίηση και ασφάλεια στο διαδίκτυο. Το εν λόγω κενό που ονομάστηκε "heartbleed", επιτρέπει σε κακόβουλους χρήστες να αποκτήσουν πρόσβαση σε κομμάτια μνήμης από τρωτές διεργασίες. Έτσι εκθέτουν πληροφορίες που μπορεί να συμπεριλαμβάνουν τα private keys, usernames, passwords καθώς και άλλα δεδομένα.
Οι developers του OpenSSL έχουν διορθώσει το συγκεκριμένο κενό στην έκδοση 1.0.1g ενώ αναμένεται σύντομα να είναι διαθέσιμη και στα repositories δημοφιλών διανομών linux και bsd . Ειδικοί συμβουλεύουν όσους τρέχανε ευάλωτες εκδόσεις να δημιουργήσουν νέα private keys καθώς και οποιαδήποτε δεδομένα πιθανώς να έχουν ήδη υποκλαπεί . Αρκετοί οργανισμοί ( π.χ. το δικτυακό κατάστημα newegg ) επέλεξαν να απενεργοποιήσουν πλήρως σχετικές υπηρεσίες , όπως το https , προσωρινά.
Ακόμα δεν έχει ακουστεί κάτι από τρίτους κατασκευαστές εξειδικευμένων συσκευών που χρησιμοποιούν το OpenSSL.
Περισσότερες πληροφορίες: Heartbleed, US-CERT/NIST, OpenSSL.org
Εμφάνιση 1-15 από 76
-
08-04-14, 14:11 Σοβαρό κενό ασφαλείας στο OpenSSL #1
-
08-04-14, 14:21 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #2
Ωπα!!!!!!!!!!!!!!!!!! δηλαδή ότι ενεργοποίηση έχουμε κάνει τελευταία σε linux έχει το bug????
There's no substitute for experience
CorollaClub
-
08-04-14, 14:34 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #3
-
08-04-14, 15:05 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #4
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.115
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
χμμμ για αυτό ήρθε πριν λίγο Update σε xubuntu που αφορούσε private keys?
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
08-04-14, 15:32 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #5
Δυστυχώς το bug είναι πολύ σοβαρό...
Υπάρχει από τον Δεκέμβριο του 2011 και ανακαλύφθηκε μόλις χτες (!!)
Μπορεί να αποκαλύψει από private keys μέχρι username/passwords και πιστωτικές κάρτες...
Από το heartbleed.com:
What leaks in practice?
We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
Να συμπληρώσω ότι στο ubuntu είναι διαθέσιμη αναβάθμιση, απλά κάντε:
Κώδικας:apt-get update apt-get install openssl
Κώδικας:dpkg -s openssl
Κώδικας:Version: 1.0.1-4ubuntu5.12
Μετά χρειάζεται restart όλων των services και κανονικά επανέκδοση private keys.
-
08-04-14, 15:58 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #6
Έχει γίνει χαμός με την ανακοίνωση... Αναρωτιέμαι πόσο καιρό το ήξεραν μερικοί .
-
08-04-14, 16:14 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #7
-
08-04-14, 16:41 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #8
Και στο gentoo υπάρχει η ενημέρωση. Να υποθέσω ότι για λόγους ασφαλείας πρέπει οπουδήποτε έχουμε private/public keys να τα ανανεώσουμε, αλλά μόνο όταν το openssl έχει ενημερωθεί στο σύστημα;
- - - Updated - - -
Επίσης, αν στον υπολογιστή μου με το ενημερωμένο openssl δημιουργήσω νέο ζευγάρι public/private keys και μεταφέρω το public σε έναν υπολογιστή που δεν έχει ενημερώσει ακόμα το openssl, κινδυνεύω;
-
08-04-14, 16:53 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #9Επίσης, αν στον υπολογιστή μου με το ενημερωμένο openssl δημιουργήσω νέο ζευγάρι public/private keys και μεταφέρω το public σε έναν υπολογιστή που δεν έχει ενημερώσει ακόμα το openssl, κινδυνεύω;
-
08-04-14, 17:04 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #10
Η 1.0.1 βγήκε πριν 2 χρόνια.
Το πρόβλημα έγινε γνωστό τώρα. Δε ξέρεις από πότε κάποιοι μπορεί να το είχαν βρει.
Θεωρείστε παραβιασμένη την ασφάλεια σας και αλλάξτε τα όλα μετά την αναβάθμηση.
-
08-04-14, 17:36 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #11
αν ακυρωσεις το ιδιωτικο σου κλειδί και φτιάξεις νεο τι γίνεται με τα αρχεία, μηνύματα κλπ που εχεις κρυπτογραφήσει με το παλιό;;
-
08-04-14, 17:39 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #12
-
08-04-14, 17:42 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #13
==> Software upgrade (new version) :
core/openssl 1.0.1.f-2 -> 1.0.1.g-1
και σε εμενα νέα αναβαθμιση.
-
08-04-14, 17:42 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #14
εννοώ απο την δικιά μου μεριά, να φροντίσω πρώτα να τα αποκρυπτογραφήσω με το παλιό κλειδί, ακύρωση του παλιού κλειδιού, δημιουργία νέου, κρυπτογράφηση ξανά με το νεο;
-
08-04-14, 17:43 Απάντηση: Σοβαρό κενό ασφαλείας στο OpenSSL #15
Παρόμοια Θέματα
-
Νέο κενό ασφαλείας σχετιζόμενο με την γεννήτρια τυχαίων αριθμών του Early Random PRNG εντοπίζεται στο iOS 7
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 26Τελευταίο Μήνυμα: 21-03-14, 12:32 -
Κενό ασφαλείας πιθανό να εκθέτει τα αποθηκευμένα μηνύματα του WhatsApp σε τρίτες εφαρμογές
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 30Τελευταίο Μήνυμα: 14-03-14, 02:07 -
Άγνωστο κενό ασφαλείας του Internet Explorer 10 οδηγεί σε μόλυνση εκατοντάδων χιλιάδων υπολογιστών
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 22Τελευταίο Μήνυμα: 22-02-14, 22:40 -
Η Google κλείνει ένα πολύ σοβαρό κενό ασφαλείας του Gmail password recovery
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 19Τελευταίο Μήνυμα: 02-12-13, 16:52 -
Κενό ασφαλείας στην κρυπτογράφηση των καρτών SIM κάνει ευάλωτα εκατομμύρια κινητά
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 17Τελευταίο Μήνυμα: 26-07-13, 16:04
Bookmarks