Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#76  2014-04-16 11:04:10

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

Jakby tak co dziesiąta duża firma, która używa OpenSSL się zrzuciła, to pewnie zamiennik dla OpenSSL powstałby bardzo szybko. Najlepiej, jakby powstała obok implementacji w C (ale tak, z możliwością korzystania z zabezpieczeń języka C w OpenBSD/grsecurity) też w jakimś bezpieczniejszym języku programowania, w świecie open source chyba Python byłby odpowiedni bo ma otwartą i jednocześnie, co ważne, dobrą implementację (a nie tak jak z Javą, w której język jest niby bezpieczny, ale otwarta implementacja dziurawa jak sito). Nie wiem, może [url=http://www.rust-lang.org/]język Rust od Mozilli[/url] też byłby dobry, ale on jest jeszcze nieukończony.

Offline

 

#77  2014-04-16 11:14:18

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Dziura w openssl

[quote=mati75]To samo z kernelem jest: http://lkml.iu.edu/hypermail/linux/kernel/1404.1/03040.html[/quote]
Z Kernelem? do jajka dodają ciągle nowe sterowniki, ale ciągle też trwa czyszczenie staroci, i stopniowa unifikacja sterowników.
Przy tej okazji w kernelu mogę rożne patologiczne rzeczy łatwiej zrozumieć, jeśli brać pod uwagę listę obsługiwanego sprzętu, i to, że stoi na nim praktycznie cały system.

Biblioteka OpenSSL czy Firefox, to są rzeczy do wykonywania jednej lub kilku(nastu?) czynności wyglądają dosyć banalnie w porównaniu z takim potworem, jak kernel Linux.
Sala kinowa na wielkim okręcie transatlantyku, to nie to samo, co cały okręt na 3000 pasażerów.
Także czasem myślę, że Mozilla po prostu przesadza  z objętością FF i TB.

Natomiast utrzymanie takiego projektu, jak kernel, z jego wszystkimi sterownikami i funkcjami, to zawsze będzie wyzwanie z innej bajki, niż jakikolwiek program działający w przestrzeni użytkownika.

Ostatnio edytowany przez Jacekalex (2014-04-16 12:07:03)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#78  2014-04-16 11:37:59

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Dziura w openssl

Zobacz ile mają źródła chromium  - FF przy tym to kruszynka. Tam to jest dopiero napchane badziewia.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#79  2014-04-16 12:05:30

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Dziura w openssl

Chromium - znam, i to nieźle, podobnie jak OO/Libreoffice.
Niedawno radosna nowina - Libreoffice potrzebuje do kompilacji tylko 6GB tmp, a nie 20GB, jak kiedyś OOffice. :D


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#80  2014-04-16 12:28:05

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Dziura w openssl

[quote=uzytkownikubunt]Najlepiej, jakby powstała obok implementacji w C (ale tak, z możliwością korzystania z zabezpieczeń języka C w OpenBSD/grsecurity) też w jakimś bezpieczniejszym języku programowania, w świecie open source chyba Python byłby odpowiedni[/quote]
myślę że byłoby ciężko z wydajnościa. Swoją droga to ciekawe jak wygląda to własne zarządzanie pamięcią skoro najniżej dla aplikacji co kernel udostępnia to chyba malloc i calloc. Może napisali na to jakąś nakładke. Jak dla mnie biorąc pod uwagę istnienie różnych służb i wagę projektu wygląda to conajmniej podejrzanie....


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#81  2014-04-18 08:41:58

  tajwan - boss

tajwan
boss
Skąd: Śląsk
Zarejestrowany: 2010-03-30

Re: Dziura w openssl

Czy w związku z zaistniałą sytuacją  powinno się zmienić wszystkie hasła?


NIGDY WIĘCEJ TESTING Z KTÓRYM SĄ SAME PROBLEMY !!!

Offline

 

#82  2014-04-18 09:43:38

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Dziura w openssl

[quote=tajwan]Czy w związku z zaistniałą sytuacją  powinno się zmienić wszystkie hasła?[/quote]
Do wszystkiego, gdzie się logujesz po ssl, raczej wskazane, włącznie z Gadu, Jabberem i pocztą.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#83  2014-04-22 15:09:36

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

W ciagu 7 dni (tak od ok. 13 kwietnia do 20) deweloperzy OpenBSD podczas oczyszczania kodu OpenSSL deweloperzy OpenBSD do swojego repozytorium kodu dokonali 250 commitów. W tej chwili wiadomo już oficjalnie, że chca stworzyć własny fork OpenSSL nazwany LibreSSL.

http://it-beta.slashdot.org/story/14/04/22/1240247/not-just-a-cleanup-any-more-libressl-project-announced
http://www.zdnet.com/openbsd-forks-prunes-fixes-openssl-7000028613/
http://www.libressl.org/

Jako, że wydanie OpenBSD 5.5 jest już niedługo, to LibreSSL będzie właczone dopiero do OpenBSD 5.6. Fork dostanie obsługę innych systemów w późniejszym terminie, jeśli uda się zebrać odpowiednie zasoby.

Ostatnio edytowany przez uzytkownikubunt (2014-04-22 15:12:20)

Offline

 

#84  2014-04-22 18:39:53

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: Dziura w openssl

[quote=uzytkownikubunt]http://www.libressl.org/[/quote]
czcionka ♥

Dopisek: stopka :D

This page scientifically designed to annoy web hipsters. Donate now to stop the Comic Sans and Blink Tags[/quote]

Ostatnio edytowany przez azhag (2014-04-22 18:41:43)


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#85  2014-04-24 22:46:40

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

Linux Foundation natomiast rozpocznie projekt "Core Infrastructure Initiative", który ma właśnie poprawiać bezpieczeństwo otwartoźródłowego oprogramowania, na którym opiera się Internet. Pierwszym celem jest OpenSSL. Inicjatywę na razie finansuja Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace i VMware. Wszystkie te firmy zobowiazały się, że przez co najmniej najbliższe 3 lata będa płacić $100 000 rocznie czyli co najmniej sumka wynosi w ciagu 3 lat 3,9 miliona dolarów.
Szkoda tylko deweloperów OpenBSD, którzy staraja się wszystko tworzyć z najlepszymi standardami bezpieczeństwa, a pewnie teraz ich projekt LibreSSL jednak zostanie przytłamszony. Jakoś watpię, by Core Infrastructure Initiative znajac bezkompromisowość deweloperów OpenBSD w kwestiach bezpieczeństwa.

Offline

 

#86  2014-04-24 23:01:39

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Dziura w openssl

Za 3,9 mln dolarów przeportują LibreSSl na nowy OpenSSL. ;)
Zobaczymy, czy Devom OpenBSD skapnie z tej kasy choćby miska ryżu...
:P


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#87  2014-04-24 23:21:37

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

Znając deweloperów OpenBSD to pewnie powyłączaliby szyfry np. RC4 o którym dawno wiadomo, że jest słaby i powinno się go zaprzestać używać, ale... jest używany, bo jest używany.

Offline

 

#88  2014-05-21 08:39:44

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

http://www.openbsd.org/papers/bsdcan14-libressl/
https://www.youtube.com/watch?v=GnBbhXBDmwU

Prezentacja o OpenSSL i LibreSSL. Dla mnie ciekawe było pytanie na końcu o kod implementujący algorytmy kryptograficzne. Deweloperzy na początku zastrzegli, że oni są programistami i nie jest w ich kompetencji audytować kod implementujący szyfrowanie. Jeden z nich odpowiedział jednak, że pisali go specjaliści od kryptografii i pod względem jakości kodu wygląda jakby był dobrej jakości. Powiedziane również zostało, że zdecydowana większość kodu OpenSSL/LibreSSL to kod dotyczący protokołów, a nie implementacji algorytmów szyfrujących. Kod dotycząc stricte algorytmów szyfrujących to mała część kodu OpenSSL/LibreSSL.
Trzeba jednak dodać, że w wielu miejscach kodu OpenSSL, w których nie są implementowane algorytmy szyfrujące a jedynie wykonywane, znaleziono obejście problemu niewystarczającej ilości entropii w ten sposób, że jako źródło części entropii stosowany był zapisany w programie na stałe ciąg znaków... Powiedziane również wyraźnie zostało, że w LibreSSL to system ma zapewnić dobre źródło entropii i nie będą obchodzić problemu przez sztuczki w userspace.

Offline

 

#89  2014-06-06 15:22:21

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

Wczoraj zostały wydane informacje o kolejnych błędach w OpenSSL, ich lista jest dostępna tutaj: https://www.openssl.org/news/secadv_20140605.txt
Sposób ujawniania tych informacji napsuł krwi deweloperom OpenBSD. Informacje o błędach, które zostały publicznie ujawnione, napływały do zespołu OpenSSL już 1 maja. Obecnie wiadomo o ujawnianiu tyle:

Kod:

Here is the timeline from my (OpenSSL) perspective for the recent CCS Injection (MITM) vulnerability as well as the other flaws being fixed today.

** SSL/TLS MITM vulnerability (CVE-2014-0224)

2014-04-22 (Date we were told the reporters shared the issue with
                        JPCERT/CC)
2014-05-01 JPCERT/CC make first contact with OpenSSL security
2014-05-02 JPCERT/CC send detailed report and reproducer to        
                        OpenSSL security
2014-05-09 CERT/CC make first contact with OpenSSL security      
                         and send an updated report
2014-05-09 OpenSSL verify the issue and assign CVE-2014-0224
2014-05-12 JPCERT/CC contact OpenSSL with updated reproducer
2014-05-13 OpenSSL start communication directly to reporters to  
                       share updated patch and other technical details
2014-05-21 JPCERT/CC notify OpenSSL they have notified
                       "vendors who have implemented  OpenSSL in their          
                        products" under their framework agreement
2014-05-21 CERT/CC request permission to prenotify vendors of
                       the issue
2014-05-21 OpenSSL work with two major infrastructure providers
                       to test the fix and  ensure the fix is sufficient
2014-06-02 CERT/CC notify their distribution list about the security
                        update but with no details
2014-06-02 "OS distros" private vendor list is given headsup and
                        ability to request the patches and draft advisory
                        (0710).  Told Red Hat (0710) Debian (0750) FreeBSD
                        (0850),  AltLinux (1050), Gentoo (1150), Canonical
                        (1150), IBM (1700), Oracle (1700), 
                        SUSE (2014-06-03:0820), Amazon AMI
                        (2014-06-03:1330), NetBSD/pkgsrc (2014-06-04:0710),
                        Openwall (2014-06-04:0710)
2014-06-02 Red Hat find issue with patch (1400), updated patch
                        sent to vendors
2014-06-02 Canonical find regression with patch (1700), Stephen
                         produces updated patch, sent to vendors (1820)
2014-06-03 "ops-trust" (1015) and selected OpenSSL Foundation
                         contracts (0820) are told a security  update will be
                         released on 2014-06-05 but with no details
2014-06-05 Security updates and advisory is released (1130)

** DTLS recursion flaw (CVE-2014-0221)

2014-05-09 Reporter contacts OpenSSL security
2014-05-09 OpenSSL contacts reporter with possible patch for
                       verification
2014-05-16 Reporter confirmes patch
2014-05-18 OpenSSL tells reporter CVE name
2014-06-02 "OS distros" notification as above
2014-06-03 OpenSSL lets reporter know the release date
2014-06-05 Security updates and advisory is released

** DTLS invalid fragment vulnerability (CVE-2014-0195)

2014-04-23 HP ZDI contact OpenSSL security and pass on security
                        report
2014-05-29 OpenSSL let ZDI know the release date
2014-06-02 "OS distros" notification as above
2014-06-05 Security updates and advisory is released

** Anonymous ECDH denial of service (CVE-2014-3470)

2014-05-28 Felix Gröbert and Ivan Fratrić at Google report to
                       OpenSSL
2014-05-29 OpenSSL tell reporters CVE name and release date
2014-06-02 "OS distros" notification as above
2014-06-05 Security updates and advisory is released

(All times UTC)

Deweloperzy wielu dystrybucji Gnu/Linuksa a także FreeBSD i NetBSD zostali powiadomieni ze stosownym uprzedzeniem. Wśród poinformowanych zabrakło przedstawicieli OpenBSD. Ludzie z OpenSSL bronią się, że Theo z OpenBSD nie był zarejestrowany na prywatnej liście mailingowej (która nie jest listą OpenSSLa) i dlatego nie znalazł się [url=http://oss-security.openwall.org/wiki/mailing-lists/distros]wśród poinformowanych[/url]. Deweloperzy z OpenBSD z kolei mówią, że ostatnio gdy dostali informacje o tej liście, pytali czy dostęp do niej oznacza szybszy dostęp do konkretnych informacji o błędach w oprogramowaniu i nie dostali w odpowiedzi takiego potwierdzenia. Zdecydowali więc, że nie będą się zapisywali do następnej listy mailingowej, która w dodatku według publicznie dostępnych informacji była eksperymentalną. W każdym bądź razie wszystkie dystrybucje z tej listy dostały informacje o tym, że 5 czerwca zostaną opublikowane publicznie informacje o błędach a oprócz tego z wyprzedzeniem dostali informacje o tym, w których miejscach znaleziono błędy by mogli opracować odpowiednie łaty.
Już abstrahując od tej listy mailingowej osobno CERT/CC i OpenSSL Foundation miało poinformować odpowiednio 2 i 3 czerwca o tym, że 5 czerwca zostaną wydane informacje o błędach w OpenSSL, tym razem bez szczegółów pozwalających na opracowanie łatek. OpenBSD również nie zostało przez wcześniej wspomniane strony poinformowane.
Warto dodać, że ludzie zajmujący się LibreSSL np Otto Moerbeek zgłaszają błędy do zespołu OpenSSL...
***
Taka ciekawostka: Bład ujawniony w kwietniu o numerze  #3317 w OpenSSL znaleziony został za pomocą Clang static analyzer.
*** Core Infrastructure Initiative prowadzone przez Linux Foundation ma opłacić projektowi OpenSSL dwóch deweloperów + audyt. Jestem jakoś sceptycznie nastawiony do tego audytu, bo skoro kod OpenSSL jest tak słabej jakości to pewnie znajdą 10 000 błędów, a i tak wszystkich nie wyłapią. Podobnie sceptycznie jestem nastawiony do wspierania projektu OpenSSL, bo ludzie którzy tam pracują chyba nie do końca znają się na pisaniu kodu. Wspomniany błąd #3317 wymagał do załatania jednej linijki kodu, a i tak został źle załatany. Skończyło się dobrym patchem, bo Miod Vallat (deweloper OpenBSD) znalazł błąd, a Otto Moerbee zgłosił do zespołu OpenSSL.
Deweloperzy LibreSSL napisali do zarządzających Core Infrastructure Initiative w sprawie ewentualnego wsparcia, ale nie otrzymali odpowiedzi.

Ostatnio edytowany przez uzytkownikubunt (2014-06-06 15:32:01)

Offline

 

#90  2014-06-06 17:42:51

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Dziura w openssl

Jeszcze trochę i się będą śmiać z tego openssl jak z windowsa albo już to robią. xD Tak właśnie kończy oprogramowanie, w które wszyscy wierzą, że jest bezpieczne ale nikt nawet nie pofatyguje się by to sprawdzić, a potem po latach wychodzą takie kfiatki. :]

Offline

 

#91  2014-06-20 07:28:52

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

http://www.kde.org/info/security/advisory-20140618-1.txt
https://lists.debian.org/debian-qt-kde/2014/06/msg00235.html

The POP3 kioslave used by kmail will accept invalid certificates without
presenting a dialog to the user due a bug that leads to an inability to
display the dialog combined with an error in the way the result is checked.

Offline

 

#92  2014-06-21 12:11:58

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

[url=http://www.phoronix.com/scan.php?page=news_item&px=MTcyNjM]Google Is Maintaining A "BoringSSL" Fork Of OpenSSL[/url]
Google przez długi okres czasu samo pisało łatki na OpenSSL na tyle ingerujące w oprogramowanie, że łamało to kompatybilność na poziomie API/ABI, dlatego nie zostały wysłane do włączenia do OpenSSL. W każdym bądź razie bazą było OpenSSL, a łatki były dodatkiem przystosowywanym do bazy. W tej chwili nie będą jednak już aż tak bardzo sztywno bazowali na OpenSSL tylko będą bardziej elastycznie podchodzić do portowania kodu z OpenSSL i LibreSSL i nakładać na to jeszcze swoje patche i taki projekt nazwali BoringSSL. Z drugiej strony nie chcą oni zastępować projektu OpenSSL.

Offline

 

#93  2014-07-17 11:30:06

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

Bob Beck (jedna z wazniejszych osob zajmujacych sie ssl w OpenBSD) poinformowal kilka dni temu o wydaniu LibreSSL 2.0-portable. Wydanie ma sie kompilowac na Linux, Solaris, Mac OSX i FreeBSD. To wstepne wydanie, wiec nie powinno byc stosowane w zastosowaniach produkcyjnych. Niestety znaleziona zostala tez mala podatnosc, ale ujawniajaca sie obecnie tylko, gdy proces sie forkuje i jednoczesnie ma ten sam PID co podczas ostatniego sprawdzania - w normalnych zastosowaniach sytuacja nierealstyczna. Zostalo to zalatane w libressl-2.0.2
http://ftp.openbsd.org/pub/OpenBSD/LibreSSL/

Offline

 

#94  2014-10-14 22:09:46

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

[quote=Bob Beck]We have released LibreSSL 2.1.0 - which should be arriving in the
LIbreSSL directory of an OpenBSD mirror near you very soon.

This release continues on with further work from after OpenBSD 5.6
code freeze. Our intention is to finalize LibreSSL 2.1 with OpenBSD
5.7

As noted before, we welcome feedback from the broader community.

Enjoy,

-Bob[/quote]
12 października 2014

Offline

 

#95  2015-02-07 17:28:55

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

Programista Werner Koch zajmujący się utrzymywaniem narzędzie GnuPG również tak jak projekt OpenSSL miał problemy finansowe z powodu bardzo niskich dochodów. Ostatnio trochę kasy się zebrało z dotacji, Core Infrastructure Initiative, Facebook i Stripe tez mają się dorzucić, więc będzie kasa na dalsze utrzymywanie kodu. Niestety z powodu tego, że przez spory odcinek czasu programista był jeden i do tego niedopłacony to kod teraz ma być w nie najlepszym stanie.
http://arstechnica.com/security/2015/02/once-starving-gnupg-crypto-project-gets-a-windfall-but-can-it-be-saved/
Z drugiej strony GPG nie jest oprogramowaniem, które by implementowało tak złożone protokoły jak SSL i TLS, więc nie powinno być aż tak tragicznie z tym jak po artykule w arstechnica można by pomyśleć.
W każdym razie kasa jest na drugiego programistę, więc sobie poradzą. Wersja nowoczesna (2.1) jest z tego co widzę tylko w experimental, ale chyba się nią niedługo zainteresuję, bo jest w niej obsługa krzywych eliptycznych i więcej ciekawych funkcji skrótu (SHA pochodzą od NSA...), a teraz pewnie będzie kwitła :D
Dodane: Jednak nie ma funkcji skrótu ciekawszych w gpg2 nawet w experimentalu na razie, chociaż libgcrypt obsługuje.

Ostatnio edytowany przez uzytkownikubunt (2015-02-07 22:08:49)

Offline

 

#96  2015-02-17 23:37:05

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

http://zaufanatrzeciastrona.pl/post/generowaliscie-ostatnio-klucze-na-freebsd/

Właśnie ogłoszono, że generator liczb losowych we FreeBSD był przez ostatnie 4 miesiące nieprawidłowo zaimplementowany. Skutkiem tego może być niski poziom losowości wszystkich generowanych w tym czasie kluczy SSH, SSL itp. Zalecana jest aktualizacja jądra do wersji r278907 oraz ponowne utworzenie kluczy.

Czyżby kolejny przypadkowy błąd mający związek akurat z liczbami losowymi? :)[/quote]

Offline

 

#97  2015-02-18 10:37:56

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Dziura w openssl

Ma to jakieś CVE bo nie widze nic?


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#98  2015-03-04 13:35:00

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

http://zaufanatrzeciastrona.pl/post/5-milionow-serwerow-podatnych-na-freak-nowy-atak-na-protokol-ssl/
https://www.openssl.org/news/secadv_20150108.txt

OpenSSL pozwala wynegocjować stare szyfrowanie RSA z 512 bitami. Atakujący może, jeśli zarówno serwer jak i klient obsługują/akceptują to szyfrowanie, tak wpłynąć na proces negocjacji, że zostanie ten rodzaj użyty do szyfrowania. Można je złamać na serwerach amazonu w 7 godzin za 100 dolarów.
Raz złamany klucz służy do odszyfrowania każdej komunikacji z serwerem do jego restartu.
Nawet nsa.gov jest/było podatne. Ktoś sobie nawet złamał ich klucz i podmienił sobie stronę:
[img]http://zaufanatrzeciastrona.pl/wp-content/uploads/2015/03/nsa.jpg[/img]

Ostatnio edytowany przez uzytkownikubunt (2015-03-04 16:50:14)

Offline

 

#99  2015-05-20 13:50:03

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Dziura w openssl

Logjam, atak na TLS z algorytmem Diffie-Hellman, który wykorzystuje słabe, 512 bitowe klucze.
Z tekstu wynika, że obecnie tylko Internet Explorer jest poprawiony. Inna przeglądarki mają być poprawione na dniach.
http://arstechnica.com/security/2015/05/https-crippling-attack-threatens-tens-of-thousands-of-web-and-mail-servers/

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.018 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00108 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.18.238' WHERE u.id=1
0.00059 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.219.18.238', 1732680195)
0.00052 SELECT * FROM punbb_online WHERE logged<1732679895
0.00087 DELETE FROM punbb_online WHERE ident='185.191.171.15'
0.00088 SELECT topic_id FROM punbb_posts WHERE id=282555
0.00006 SELECT id FROM punbb_posts WHERE topic_id=25583 ORDER BY posted
0.00086 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25583 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00837 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25583 ORDER BY p.id LIMIT 75,25
0.00085 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25583
Total query time: 0.01431 s