Σοβαρό κενό ασφαλείας στο OpenSSL

[SfH]

Πριν μερικές ώρες ανακοινώθηκε σοβαρό κενό ασφαλείας στο OpenSSL, συγκεκριμένα στην έκδοση 1.0.1 έως και την 1.0.1f. Το πακέτο αυτό χρησιμοποιείται κατά κόρον για κρυπτογράφηση, ταυτοποίηση και ασφάλεια στο διαδίκτυο. Το εν λόγω κενό που ονομάστηκε "heartbleed", επιτρέπει σε κακόβουλους χρήστες να αποκτήσουν πρόσβαση σε κομμάτια μνήμης από τρωτές διεργασίες. Έτσι εκθέτουν πληροφορίες που μπορεί να συμπεριλαμβάνουν τα private keys, usernames, passwords καθώς και άλλα δεδομένα.

Οι developers του OpenSSL έχουν διορθώσει το συγκεκριμένο κενό στην έκδοση 1.0.1g ενώ αναμένεται σύντομα να είναι διαθέσιμη και στα repositories δημοφιλών διανομών linux και bsd . Ειδικοί συμβουλεύουν όσους τρέχανε ευάλωτες εκδόσεις να δημιουργήσουν νέα private keys καθώς και οποιαδήποτε δεδομένα πιθανώς να έχουν ήδη υποκλαπεί . Αρκετοί οργανισμοί ( π.χ. το δικτυακό κατάστημα newegg ) επέλεξαν να απενεργοποιήσουν πλήρως σχετικές υπηρεσίες , όπως το https , προσωρινά.

Ακόμα δεν έχει ακουστεί κάτι από τρίτους κατασκευαστές εξειδικευμένων συσκευών που χρησιμοποιούν το OpenSSL.

Περισσότερες πληροφορίες: Heartbleed, US-CERT/NIST, OpenSSL.org

[BlueChris]

Ωπα!!!!!!!!!!!!!!!!!! δηλαδή ότι ενεργοποίηση έχουμε κάνει τελευταία σε linux έχει το bug????

[Tiven]

Ωπα!!!!!!!!!!!!!!!!!! δηλαδή ότι ενεργοποίηση έχουμε κάνει τελευταία σε linux έχει το bug????

Ναι ναι θέλει νέο CA και από την αρχή όλα.

Οπότε προσοχή

[nnn]

χμμμ για αυτό ήρθε πριν λίγο Update σε xubuntu που αφορούσε private keys?

[cyberp]

Δυστυχώς το bug είναι πολύ σοβαρό...
Υπάρχει από τον Δεκέμβριο του 2011 και ανακαλύφθηκε μόλις χτες (!!)
Μπορεί να αποκαλύψει από private keys μέχρι username/passwords και πιστωτικές κάρτες...
Από το heartbleed.com:

What leaks in practice?

We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.

- - - Updated - - -

Να συμπληρώσω ότι στο ubuntu είναι διαθέσιμη αναβάθμιση, απλά κάντε:

Κώδικας:

apt-get update
apt-get install openssl

Μετά τρέξτε:

Κώδικας:

dpkg -s openssl

Αν σας βγάλει:

Κώδικας:

Version: 1.0.1-4ubuntu5.12

Είστε οκ...
Μετά χρειάζεται restart όλων των services και κανονικά επανέκδοση private keys.

[minas]

Έχει γίνει χαμός με την ανακοίνωση... Αναρωτιέμαι πόσο καιρό το ήξεραν μερικοί .

[optimogar]

Έχει γίνει χαμός με την ανακοίνωση... Αναρωτιέμαι πόσο καιρό το ήξεραν μερικοί .

Οι μερικοί ξέρουν σίγουρα και τον αντικαταστάτη.....

[tsigarid]

Και στο gentoo υπάρχει η ενημέρωση. Να υποθέσω ότι για λόγους ασφαλείας πρέπει οπουδήποτε έχουμε private/public keys να τα ανανεώσουμε, αλλά μόνο όταν το openssl έχει ενημερωθεί στο σύστημα;

- - - Updated - - -

Επίσης, αν στον υπολογιστή μου με το ενημερωμένο openssl δημιουργήσω νέο ζευγάρι public/private keys και μεταφέρω το public σε έναν υπολογιστή που δεν έχει ενημερώσει ακόμα το openssl, κινδυνεύω;

[karakou]

Επίσης, αν στον υπολογιστή μου με το ενημερωμένο openssl δημιουργήσω νέο ζευγάρι public/private keys και μεταφέρω το public σε έναν υπολογιστή που δεν έχει ενημερώσει ακόμα το openssl, κινδυνεύω;

Χωρίς να είμαι σίγουρος αν είναι εκτός τοπικού λαν ο ανενημέρωτος κινδυνευεις

[DSLaManiaC]

Η 1.0.1 βγήκε πριν 2 χρόνια.

Το πρόβλημα έγινε γνωστό τώρα. Δε ξέρεις από πότε κάποιοι μπορεί να το είχαν βρει.

Θεωρείστε παραβιασμένη την ασφάλεια σας και αλλάξτε τα όλα μετά την αναβάθμηση.

[8anos]

αν ακυρωσεις το ιδιωτικο σου κλειδί και φτιάξεις νεο τι γίνεται με τα αρχεία, μηνύματα κλπ που εχεις κρυπτογραφήσει με το παλιό;;

[DSLaManiaC]

αν ακυρωσεις το ιδιωτικο σου κλειδί και φτιάξεις νεο τι γίνεται με τα αρχεία, μηνύματα κλπ που εχεις κρυπτογραφήσει με το παλιό;;

Ότι γίνεται με τα ίδια μηνύματα αν σου χει τραβήξει το παλιό κλειδί κάποιος και έχει αποθηκεύσει την παλιά "συνομιλία".

[Nikiforos]

==> Software upgrade (new version) :
core/openssl 1.0.1.f-2 -> 1.0.1.g-1

και σε εμενα νέα αναβαθμιση.

[8anos]

εννοώ απο την δικιά μου μεριά, να φροντίσω πρώτα να τα αποκρυπτογραφήσω με το παλιό κλειδί, ακύρωση του παλιού κλειδιού, δημιουργία νέου, κρυπτογράφηση ξανά με το νεο;

[DSLaManiaC]

εννοώ απο την δικιά μου μεριά, να φροντίσω πρώτα να τα αποκρυπτογραφήσω με το παλιό κλειδί, ακύρωση του παλιού κλειδιού, δημιουργία νέου, κρυπτογράφηση ξανά με το νεο;

Φαντάζομαι πως ναι.

Δε γίνεται να αποκρυπτογραφήσεις μηνύματα με διαφορετικό κλειδί.