Rezultate 1 la 6 din 6

Subiect: Heartbleed - vulnerabilitate OpenSSL

  1. #1
    Avatarul lui gupi
    gupi este deconectat Ambasador
    Reputatie:
    33
    Data înscrierii
    15th March 2008
    Locaţie
    Timisoara
    Posturi
    421
    Putere Rep
    33


    Implicit Heartbleed - vulnerabilitate OpenSSL

    Salutare

    daca aveti servere în administrare și n-ati facut-o deja, vă invit să actualizați cât mai repede librăria OpenSSL.

    https://cve.mitre.org/cgi-bin/cvenam...=CVE-2014-0160


    Pentru CentOS:
    - accesati consola serverului cu drepturi administrative (root)
    - lansati comanda "yum update openssl";
    - restartati serverul

    va fi instalata o versiune ce rezolvă temporar problema, până la lansarea unui pachet dinspre versiunea Enterprise
    (anuntul e aici: [CentOS-announce] CVE-2014-0160 CentOS 6 openssl heartbleed workaround)

    Pentru Ubuntu: security - How to patch CVE-2014-0160 in OpenSSL? - Ask Ubuntu

    Pentru restul: guugle
    .:|:.

  2. #2
    Avatarul lui deadworldisee
    deadworldisee este deconectat Membru SeoPedia
    Reputatie:
    24
    Data înscrierii
    6th April 2008
    Locaţie
    iasi
    Vârstă
    32
    Posturi
    1.033
    Putere Rep
    24


    Implicit

    Sincer sa fiu dupa stirea cum ca NSA a inceput deja rescrierea algoritmului pt SSL pt a lasa o portita de intrare si au inceput sa o implementeze in rooterele care ies pe piata fabricate in SUA, imi pun mari semne de intrebare asupra bugului asta care a aparut peste noapte si totusi Open SSL este de mult mult timp in folosinta.

    In orice caz o sa ma documentez bine despre acest bug insa la alte buguri importante nu s-a facut un site special si nu a explodat media IT ca pana acum https://heartbleed.com/
    Cu o astfel de stire se poate updata o mare parte din serverele mondiale cu un alt "bug".
    Pt mine ramane suspecta treaba asta


    "However, Adam Langley, a Google security expert who helped close the OpenSSL hole, said his testing didn't reveal information as sensitive as secret keys. "When testing the OpenSSL heartbeat fix I never got key material from servers, only old connection buffers. (That includes cookies though.)," Langley said on Twitter."
    Ultima modificare făcută de deadworldisee; 9th April 2014 la 14:28.

  3. #3
    Avatarul lui gupi
    gupi este deconectat Ambasador
    Reputatie:
    33
    Data înscrierii
    15th March 2008
    Locaţie
    Timisoara
    Posturi
    421
    Putere Rep
    33


    Implicit

    @deadworldisee , deocamdată astea sunt informațiile "oficiale" pe care le avem.

    Putem să lăsăm lucrurile să curgă de la sine (așa cum mulți au pățit-o cu Slammer), sau putem urma pașii obișnuiți pentru închiderea unei vulnerabilități.
    Totul depinde de miza jocului: e un home-router cu managementul prin https sau e un site de plăți online ? Ce pierd dacă implementez măsurile de securitate ? Ce risc dacă nu le aplic ? Am alternative ?


    My2c

    PS: puteti testa serverele la http://filippo.io/Heartbleed/
    .:|:.

  4. #4
    Avatarul lui zuuup
    zuuup este deconectat Membru SeoPedia
    Reputatie:
    18
    Data înscrierii
    12th October 2013
    Locaţie
    Cluj-Napoca
    Vârstă
    31
    Posturi
    96
    Putere Rep
    18


    Implicit

    Inainte de update este recomandat sa faceti un pic de curatenie in yum:

    yum clean metadata
    yum clean headers
    yum clean packages
    yum clean all
    yum check update
    yum update openssl

    Dupa update este suficient un restart la ngnix/apache nu trebuie restartat serverul.

    Un alt script cu care puteti testa daca sunteti expusi vulnerabilitatii: https://www.mattslifebytes.com/?p=533

  5. #5
    Avatarul lui haos
    haos este deconectat Ambasador
    Reputatie:
    51
    Data înscrierii
    19th February 2008
    Locaţie
    Craiova
    Posturi
    2.239
    Putere Rep
    51


    Implicit

    Lista unor mari siteuri afectate de aceasta vulnerabilitate. Amazon - nota 10, ca de fiecare data. La restul aveti de schimbat ceva parole
    Citeste primul meu curs SEO - principii de baza. Vezi oferta mea de advertoriale PR5.

  6. #6
    Avatarul lui gupi
    gupi este deconectat Ambasador
    Reputatie:
    33
    Data înscrierii
    15th March 2008
    Locaţie
    Timisoara
    Posturi
    421
    Putere Rep
    33


    Implicit

    Resalut

    pentru teste esxtinse (sunt verificati si alti parametri ssl), recomand si https://www.ssllabs.com/ssltest/

    Legat de Heartbleed, better safe than sorry:

    Pentru furnizori:
    - regenerati certificatele ssl la serverele pe care le controlati;
    - schimbati parolele de acces la servicii

    Pentru clienti:
    - cereti furnizorilor detalii despre vulnerabilitate: este serviciul afectat, au luat masuri, etc ...
    - schimbati toate parolele de la serviciile online (dureros, dar in acest caz paranoia e buna).
    .:|:.

Informații subiect

Utilizatori care navighează în acest subiect

Momentan este/sunt 1 utilizator(i) care navighează în acest subiect. (0 membrii și 1 vizitatori)

Thread-uri Similare

  1. vulnerabilitate wordpress 2.1.3
    De agnus în forumul Continut web
    Răspunsuri: 16
    Ultimul Post: 4th July 2007, 03:42

Etichete pentru acest subiect

Permisiuni postare

  • Nu puteţi posta subiecte noi.
  • Nu puteţi răspunde la subiecte
  • Nu puteţi adăuga ataşamente
  • Nu puteţi modifica posturile proprii
  •