Εμφάνιση 31-45 από 56
-
10-06-14, 10:29 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #31
-
10-06-14, 11:11 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #32Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
-
10-06-14, 11:20 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #33
-
10-06-14, 12:44 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #34
απο το okeanos μηνυμα λεει
Dear ~okeanos user,
On 2014-06-05 OpenSSL published a critical update[1] for their
software, protecting users from 6 different vulnerabilities, one of
which can be exploited via Man In The Middle (MITM) vectors.
Successful exploitation can also lead to DOS attacks on the affected
systems.
Please update the OpenSSL package (libssl in most distributions) and
then restart all affected services (web servers like apache,nginx, mail
servers etc) in order for the changes to take effect. In most cases a
simple upgrade of your distributions packages will patch the
vulnerabilities(Linux,BSD). If you use Windows and you haven't installed
OpenSSL on your own, you are not vulnerable.
[1] https://www.openssl.org/news/secadv_20140605.txt
Useful links:
https://isc.sans.edu/diary/Critical+...tch+Now!/18211
http://ccsinjection.lepidum.co.jp/bl...-en/index.html
http://threatpost.com/new-openssl-mi...ersions/106470
Vulnerability Check:
https://access.redhat.com/labs/ccsinjectiontest/
-
10-06-14, 12:48 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #35
-
10-06-14, 13:22 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #36
-
10-06-14, 14:05 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #37
-
10-06-14, 14:06 #38
Όχι ακριβώς. Το κλειστό μπορεί να ειναι τρύπιο επίτηδες. Και τα δυο βέβαια μπορεί να έχουν τρύπες λόγω μαλακίας, απροσεξίας κλπ
Υδραυλικός, φωτογράφος, εραστής και ποιητής...
http://www.flickr.com/photos/120411235@N06/
-
10-06-14, 14:19 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #39
-
10-06-14, 18:46 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #40
To timeline είναι πολύ ενδιαφέρον. Μεταξύ των άλλων δείχνει ότι το patch πέρασε από code review και διορθώθηκε ανεξάρτητα από developers δύο διαφορετικών εταιρειών (Redhat και Canonical). Αυτό δεν μπορεί να γίνει με κλειστό κώδικα...
Κάτι παρόμοιο είχαμε και με το heartbleed: τουλάχιστον δύο εταιρείες εφτιαξαν patches και τα πέρασαν στα μηχανήματά τους πριν την επίσημη αναβάθμιση του openssl project.It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
10-06-14, 22:55 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #41
Καμία σχέση σε σοβαρότητα αυτό το bug με το προηγούμενο το heartbleed. Με το προηγούμενο αποκάλυπτε κάτι με τα μυστικά κλειδιά μπορούσε να σπάσει όλα τους κωδικούς (εξ ου και να αλλάξεις).
Αυτό εδώ έχει νόημα σε Man in the middle επιθέσεις και άλλα "ζόρικα" που δεν γίνονται έτσι εύκολα και η ζημιά είναι σε επίπεδο session.
Οπότε ηρεμήστε και patcάρετε
Υ.Γ η διαμάχη πιο είναι πιο ασφαλές το open ή το κλειστό λογισμικό, είναι αστεία! Εννοείται είναι το ίδιο ευάλωτα. Απλά το open μπορείς να βρεις πολύ πιο απλά (κοιτώντας το κώδικα) ενώ στο κλειστό δεν μπορείς και εξαρτάσαι από την εταιρία να το βρει ή κάποιο τυχαίο γεγονός ή κάποιον τρελαμένο hacker να το κάνει revece engineer για να το ανακαλύψεις. Και στις δύο περιπτώσεις είσαι το ίδιο ανασφαλείς (λάθη ή εσκεμμένα λάθη κάνουν και οι πληρωμένοι προγραμματιστές). Στα κλειστά προγράμματα απλά το obscurity (πολύπλοκος και μυστικός κώδικας) προστατεύει κάπως από τρίτους αλλά όχι από τους μέσα. Στην μια περίπτωση κλειστού κώδικά) την τρύπα την ξέρει (και την χρησιμοποιεί) η ίδια η εταιρία και κάποιο κράτος (κίνα στα huaway, ΗΠΑ στα cisco) ή άλλο συμφέρον πίσω της ενώ στο open μπορείς να την βρεις και εσύ. Απλά στο open μπορεί και ο εχθρός να το βρει πιο γρήγορα από εσένα. Όπως και να έχει και το ένα και το άλλο έχει τα πλεονεκτήματα και μειονεκτήματα.There is nothing like 127.0.0.1
-
10-06-14, 23:07 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #42
μπορεί και το ανοιχτό να είναι τρύπιο επίτηδες αλλά ο κώδικας είναι εκεί και αν θες τον ελέγχεις. Στο κλειστό δεν είναι εκεί και όσο και να χτυπιέσαι δεν μπορείς να τον ελέγξεις. Το αν κανένας δεν μπαίνει στο κόπο να ελέγξει το opensource είναι orthogonal με το αν μπορεί να ελεγχθεί και άρα να βρεθούν οι τρύπες που ίσως επίτηδες έχουν μπει/γίνει.
(Σου) Αναλύουμε τα αυτονόητα και μας λες και αφελείς...Τελευταία επεξεργασία από το μέλος Φανερός Πράκτωρ : 10-06-14 στις 23:12.
Υδραυλικός, φωτογράφος, εραστής και ποιητής...
http://www.flickr.com/photos/120411235@N06/
-
12-06-14, 07:03 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #43
Σωστά.
Δυνητικά όμως απέδειξες κάτι άλλο από αυτό που είπες αρχικά στο ΥΓ.
Αφού μπορείς να βρεις τα λάθη ή τα "λάθη", τότε το ασφαλίζεις περισσότερο άρα δεν είναι το ίδιο ευάλωτα.
- - - Updated - - -
Λάθος.
Τέτοιου είδους θέματα προκύπτουν γιατί κάποιος ελέγχει τον κώδικα έστω και αν είναι μετά από πολλά χρόνια
+++++
Μην ξεχνάμε πως έχουμε και log και μπορούμε να βρούμε ποιος την έκανε και να τον αποκλείσουμε ή να ενοχοποιήσουμε την εταιρία του.Τελευταία επεξεργασία από το μέλος konenas : 12-06-14 στις 07:10.
Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
-
12-06-14, 13:03 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #44
Το θέμα για μένα δεν είναι τι μπορείς και τι δεν μπορείς ! Το θέμα είναι τι γίνετε στην πραγματικότητα ! Τα πάντα κρίνονται εκ το αποτελέσματος στον κόσμο που ζούμε ! Το γεγονός ότι τον κώδικα π.χ του OpenSSL μπορεί ο καθένας να τον διαβάσει και βρεί λάθη ή "λάθη" δεν προστάτεψε τελικά τον τελικό χρήστη από το να μην εκτεθεί στο bug του HeartBleed ή στην ύπαρξη του bug που συζητάμε ! Ο χρόνος απόκρισης του να βγεί pactch γενικά είναι ανάλογος με τον χρόνο από κάνουνε αντίστοιχα και μεγάλες εταιρίες κλειστού κώδικά και σοβαρές εταιρίες !
Και άμα ξέρεις εσύ ως τελικός χρήστης τον προγραμματιστή που το έκανε τι θα τον κάνεις ? Λές και το έκανε επίτηδες ....Ακομα και σκόπιμα να το έκανε κάποιος τον πλήρωσε και πίστεψε με είναι έτοιμος ακόμα και να "καεί". Αλλά δεν είναι εκεί το πρόβλημα μου !! Η έννοια της τιμωρίας του φταίχτη είναι θέμα της ομάδας που ελέγχει ή παράγει το project ! Οχι θέμα του χρήστη !
Για μένα πάντως είτε κλειστό είτε ανοικτό είναι να υπάρχουν αρχικά και να τηρούνται οι διαδικασίες ώστε να βρίσκονται και να διοθρώνονται bugs !
Λόγω επαγγέλματος γράφω κώδικα και τις αντίστοιχες διαδικασίες στην ομάδα μου τις τηρώ ! Αλλά δεν είναι όλοι έτσι ! Εκεί είναι το θέμα !
-
12-06-14, 13:45 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #45
Γνωρίζεις τότε πως όταν είναι κλειστό το πρόγραμμα σου είναι αδύνατον ή τουλάχιστον δύσκολο να μάθεις για τυχόν κενά.
Άρα τα κενά που υπάρχουν δεν βρίσκονται παρά μόνο από εκείνους που ήδη ενδιαφέρονται να τα βρουν και να τα χρησιμοποιήσουν.
Έτσι στο μέλλον ένα κλειστό σύστημα θα περιέχει περισσότερα λάθη
Κρίνεις από 2 λάθη στα Χ χρόνια εκ των οποίων το 1 ήταν όντως μεγάλο πρόβλημα, ενώ δεν μας λες για το πόσα λάθη έχουν βρεθεί στο κώδικα των κλειστών.Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
Παρόμοια Θέματα
-
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04 -
Με έκτακτη αναβάθμιση που καλύπτει και τα Windows XP η Microsoft κλείνει το σοβαρό κενό ασφαλείας του Internet Explorer
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 38Τελευταίο Μήνυμα: 26-05-14, 23:44 -
Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 18Τελευταίο Μήνυμα: 05-05-14, 22:11 -
Νέο κενό ασφαλείας σχετιζόμενο με την γεννήτρια τυχαίων αριθμών του Early Random PRNG εντοπίζεται στο iOS 7
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 26Τελευταίο Μήνυμα: 21-03-14, 12:32 -
Η Google κλείνει ένα πολύ σοβαρό κενό ασφαλείας του Gmail password recovery
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 19Τελευταίο Μήνυμα: 02-12-13, 16:52
Bookmarks