Σοβαρό κενό ασφαλείας στο OpenSSL

[SfH]

Αρχίσανε τα advisories και για appliances. Προς το παρόν πήρε το μάτι μου f5 και cisco .

[ziopeppe]

http://blog.fox-it.com/2014/04/08/op...bug-live-blog/

Test if you are vulnerable

You can test if you are vulnerable by requesting a heartbeat response with a large response. If the server replies your SSL service is probably vulnerable. You can use any of the tests below:

http://filippo.io/Heartbleed/ : a web based test

[SfH]

Προσωπικά θα φοβόμουν να κάνω online test .

[Zus]

Απάντησε ποιο πάνω ο biggeo65, αλλά σκέψου μιλάμε για κάτι που είναι opensource και η τρύπα υπάρχει για πάνω απο 2 χρόνια
υποτίθεται οτι τον κώδικα τον βλέπουν χιλιάδες!

Χτύπημα κάτω από την μέση είναι αυτό?

[KLG]

Δεν έχω καταλάβει τι γίνεται πάντως... να πάμε στα καταφυγια? να αγοράσουμε 10 κούτες ΝΟΥΝΟΥ?

Heartbleed Bug: Public urged to reset all passwords.

Θεωρώ οτι public είμαστε όσοι απλα χρησιμοποιουμε καποιο "γνωστό" email / cloud service eg. googlemail / dropbox ή αντε στην καλύτερη έχουμε ενα site+domain για καθαρα ερασιτεχνική χρηση (δλδ δεν παρεχουμε κάποιες υπηρεσίες). Γιατί δεν εχουν αρχισει να ερχονται τα emails απο καθε υπηρεσία (mail, online shops κτλ) στην οποία είμαστε γραμμένοι?

[nnn]

Δεν έχω καταλάβει τι γίνεται πάντως... να πάμε στα καταφυγια? να αγοράσουμε 10 κούτες ΝΟΥΝΟΥ?

Heartbleed Bug: Public urged to reset all passwords.

Θεωρώ οτι public είμαστε όσοι απλα χρησιμοποιουμε καποιο "γνωστό" email / cloud service eg. googlemail / dropbox ή αντε στην καλύτερη έχουμε ενα site+domain για καθαρα ερασιτεχνική χρηση (δλδ δεν παρεχουμε κάποιες υπηρεσίες). Γιατί δεν εχουν αρχισει να ερχονται τα emails απο καθε υπηρεσία (mail, online shops κτλ) στην οποία είμαστε γραμμένοι?

Αν δεν πατσάρουν/φτιάξουν το κενό, δεν έχει νόημα να αλλάξεις το password, πάλι σε τρύπα θα πέσεις.

- - - Updated - - -

Organisations that used Microsoft's Internet Information Services (IIS) web server software would not have been affected.

[DSLaManiaC]

Τώρα τι ακριβώς κάνεις?

[euri]

Τώρα τι ακριβώς κάνεις?

Μια ακόμα μαχαιριά, στην αιμορραγούσα την καρδιά

[stel_0]

To ωραίο είναι ότι καμία ελληνική τράπεζα δεν έχει αναφέρει το παραμικρό όσον αφορά το e-banking. Επικοινώνησα με τη eurobank (όχι με κάποιον τεχνικό) αλλά με εταιρικό υπεύθυνο και δεν είχε ιδέα από το θέμα. Τα certificates τους βλέπω ότι στο not valid before έχουν παλιές ημερομηνίες (1-2 χρόνια πριν), αν είχαν φτιάξει καινούργια δεν είχαν πρόσφατο date (σημερινό/χτεσινό) στο πεδίο αυτό ?

[SfH]

Δεν ξέρω τι κάνει η eurobank συγκεκριμένα, αλλά έχω την εντύπωση ότι ο IIS είναι αρκετά δημοφιλής για εφαρμογές web banking.

[kennyyy]

To ωραίο είναι ότι καμία ελληνική τράπεζα δεν έχει αναφέρει το παραμικρό όσον αφορά το e-banking. Επικοινώνησα με τη eurobank (όχι με κάποιον τεχνικό) αλλά με εταιρικό υπεύθυνο και δεν είχε ιδέα από το θέμα. Τα certificates τους βλέπω ότι στο not valid before έχουν παλιές ημερομηνίες (1-2 χρόνια πριν), αν είχαν φτιάξει καινούργια δεν είχαν πρόσφατο date (σημερινό/χτεσινό) στο πεδίο αυτό ?

Ναι, μόλις κάνεις update το certificate στο not valid before πρέπει να έχει το πολύ χθεσινή ημερομηνία (λέμε τώρα..). Βέβαια με ελληνικές τράπεζες σώθηκες..
Σωστό και αυτό που λέει ο SfH, πολλές παίζουν με Microsoft τεχνολογίες, οπότε είναι καλυμμένοι.

[biggeo65]

Τώρα τι ακριβώς κάνεις?

Nα μην το γράψει; Αυτό είναι για το βιβλίο Γκίνες.
Πρώτη φορά που είχαν κενό ασφαλείας οι άλλοι κι όχι η MS.
Ημέρα σταθμός η σημερινή.

[stel_0]

Δεν ξέρω τι κάνει η eurobank συγκεκριμένα, αλλά έχω την εντύπωση ότι ο IIS είναι αρκετά δημοφιλής για εφαρμογές web banking.

Δεν χρησιμοποιεί OpenSSL για τα certifications ο IIS [I][self reply from 127.0.0.1 ΟΧΙ/I] ? Ακόμη και να μην όμως αποκλείεται να χουν proxy Linux ?

[GigaSat]

Όποιος έχει όρεξη ας διαβάσει αυτό είναι αρκετά ενδιαφέρον.

[stel_0]

όντως ωραίο