Критическая уязвимость в OpenSSL - возможен пиздец )

Тема в разделе "Хостинг и настройка серверов", создана пользователем X-Shar, 9 апр 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

    Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой ошибки кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL.

    В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

    Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

    Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:


    Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)

    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)

    CentOS 6.5, OpenSSL 1.0.1e-15)

    Fedora 18, OpenSSL 1.0.1e-4

    OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)

    FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)

    NetBSD 5.0.2 (OpenSSL 1.0.1e)

    OpenSUSE 12.2 (OpenSSL 1.0.1c)

    Дистрибутивы с более ранними версиями OpenSSL:

    Debian Squeeze (oldstable),
    OpenSSL 0.9.8o-4squeeze14,
    SUSE Linux Enterprise Server.


    ЧТО РЕКОМЕНДУЕТСЯ ПРЕДПРИНЯТЬ:

    Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно. Пользователей следует предупредить о возможной утечке их паролей.

    В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

    Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security.

    Именно последний сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код. Ребята из компании Codenomicon подготовили подробное описание бага и даже открыли для него отдельный сайт Heartbleed.com с изображением кровоточащего сердца.


    Пожалуйста, будьте внимательны с конфеденциальной информацией.
     
    • Мне нравится Мне нравится x 4
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    • Мне нравится Мне нравится x 4
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Арестован первый хакер, эксплуатировавший Heartbleed-уязвимость
    19-летний злоумышленник атаковал системы Канадского налогового регулятора и похитил персональные данные 900 граждан страны.
    19-летний житель Лондона был арестован местными правоохранительными органами по подозрению во взломе компьютерных систем канадского налогового ведомства (Canada Revenue Agency), в результате чего были скомпрометированы персональные данные 900 граждан.
    Расследование инцидента совместно с английскими правоохранителями проводило одно из подразделений Королевской канадской конной полиции по борьбе c технологическими преступлениями. Результатом сотрудничества специалистов стало оперативное обнаружение источника атаки, представлявшего собой персональный компьютер молодого человека по имени Стивен Артуро Солис-Рейес (Stephen Arthuro Solis-Reyes). Он предстанет перед судом в столице Канады 19 июля этого года.
    Помощник комиссара Жиль Мишо (Gilles Michaud) заявил , что данный арест демонстрирует высокую степень ответственности органов правопорядка. «Они отнеслись к этому взлому, как к приоритетному случаю и мобилизовали все необходимые ресурсы для разрешения этого вопроса в наиболее сжатые сроки», - подчеркнул Мишо.
    Отметим, что, по данным правоохранителей, Стивен Артуро осуществил атаку путем эксплуатации Heartbleed-уязвимости в OpenSSL, информация о которой была обнародована на прошлой неделе.
    Источник: securitylab.ru
     
    • Мне нравится Мне нравится x 5
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Всегда умеляло, когда ловят 16-21 подростков, которые и делать-то мало что умеют, ребята вы круты....Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 4
  5. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Пост с Хабра...

    OpenVPN успешно скомпрометирован через Heartbleed
    Страсти по недавно обнаруженной Heatbleed уязвимости в OpenSSL не утихают. Вчера на портале news.ycombinator.com появилось сообщение о том, что исследователям удалось совершить несколько успешных атак на сервер OpenVPN и скомпрометировать приватный ключ, который используется сервером для расшифровки отправленного клиентом трафика.
    We have successfully extracted private key material multiple times from an OpenVPN server by exploiting the Heartbleed Bug. The material we found was sufficient for us to recreate the private key and impersonate the server.

    As you may know, OpenVPN has an SSL/TLS mode where certificates are used for authentication. OpenVPN multiplexes the SSL/TLS session used for authentication and key exchange with the actual encrypted tunnel data stream. The default TLS library for OpenVPN is OpenSSL.​
    Ранее разработчики OpenVPN уже предупреждали пользователей, что продукт использует библиотеку OpenSSL и является уязвимым для этой атаки. Но до вчерашнего дня не было никакой публичной информации о том, что атака действительно может быть успешно реализована. Исследователи продемонстрировали возможность подделать удаленный сервер через полученный приватный ключ, а также расшифровать с помощью него данные, проходящие между настоящим сервером VPN и самим пользователем.
    Для проведения атаки использовалась следующая тестовая конфигурация сервера: ОС Ubuntu 12.04 (виртуализация через KVM) OpenVPN 2.2.1 и OpenSSL 1.0.1-4ubuntu5.11.
    Однако, следует уточнить, что такая атака не будет работать против сеансов с включенной опцией аутентификации через TLS, так как в этом случае используется отдельный приватный ключ для шифрования трафика.
    The attack vector that is present on the Access Server with the vulnerable OpenSSL libraries is not present on the Connect Clients, so the risk is minimal. Only the server that your client connects to could possibly exploit this vulnerability, and even then it is unlikely because we use Perfect Forward Security and TLS-auth on top of the SSL connection. The security of the data channel itself is not particularly at risk, only the web services on the server themselves are. And even then, since we use a privilege separation model, the web services run in a completely different process than the OpenVPN daemons handling the data connections, and therefore the private keys for your OpenVPN connections are not likely to be at any risk. Even so, we don't want to take chances and are going to release 2.0.7 soon, which will incorporate updated clients as well.​
     
    • Мне нравится Мне нравится x 6
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Хоть убейте, но что-то я так и не понял как можно этой уязвимостью воспользоваться ?bam88

    Может кто прояснит ?Не въехал!!!

    На сколько я понимаю, там нужно поднять свой сервак, далее заманить туда жертву с уязвимым OpenVPN и уже у него потом как-то стырить данные, так-нет ?

    А сам сервер можно взломать без этого гема, нет ?

    Короче уязвимость, хрен разберёшь как юзать, может она и не такая страшная !Отдыхай!!!
     
    • Мне нравится Мне нравится x 5
  7. carioca_cat ^•-•^
    carioca_cat
    Ответить в чате

    Форумчанин

    Регистрация:
    16.08.2013
    Сообщения:
    203
    Симпатии:
    878
    Пол:
    Мужской
    Репа:
    +879 / 0 / -0
    Какая-то непонятная шумиха с этой уязвимостью и на Android, и самое интересное, что разные сканеры, которые сейчас сделали для проверки своих устройств - дают абсолютно разные отчёты. К примеру, сканер от Trend Micro Security показывает уязвимость в модуле АнтиВора в антивируснике Dr.Web:
    IMG_20140419_170806.
    А сканер от Bluebox показывает уязвимость в антивируснике Kaspersky:
    IMG_20140419_170745.
    Другие сканеры, например, от Lookout, CM - показывают, что всё нормик, и нет никаких уязвимостей. Что попало.. Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 4
  8. 0eck Заблокирован
    0eck
    Ответить в чате

    Заблокирован

    Регистрация:
    05.01.2013
    Сообщения:
    4.339
    Симпатии:
    17.573
    Пол:
    Мужской
    Репа:
    +17.638 / 20 / -26
    Trend Micro выпустила два решения против Heartbleed

    Чтобы помочь Интернет-пользователям защитить себя от уязвимости Heartbleed, приводящей к нарушению безопасности SSL, Trend Micro Incorporated объявила о выпуске двух бесплатных Heartbleed-сканеров для компьютеров и мобильных устройств. Новые приложения предназначены для проверки веб-сайтов и мобильных приложений для Android, которые могут быть скомпрометированы Heartbleed.
    Решения – плагин для браузера Chrome Trend Micro™ Heartbleed Detector и сканер приложений для мобильных устройств на ОС Android, уже доступны бесплатно в магазинах приложений Chrome Web Store и Google Play, соответственно.
    Trend Micro Heartbleed Detector представляет собой мультиплатформенный плагин для Chrome, который позволяет пользователям компьютеров с Windows или Mac проверять на уязвимость URL-адреса веб-сайтов. Это приложение устанавливается в один клик.
    Исследователи Trend Micro также обнаружили, что мобильные приложения столь же уязвимы к ошибке Heartbleed как и веб-сайты. Для предотвращения этой угрозы, компания Trend Micro разработала Heartbleed-детектор для проверки приложений на мобильных устройствах пользователя, а также серверов, с которыми они взаимодействуют. Если приложение окажется уязвимым к ошибке OpenSSL, детектор предложит пользователю удалить его.
    [​IMG]
    «Trend Micro отреагировала на угрозу Heartbleed, предложив инструменты для защиты своих персональных данных всем пользователям Интернета», – говорит Раймунд Генес, технический директор компании Trend Micro. – «Покупки в мобильных приложениях и финансовые операции на мобильных устройствах становятся нормой, и Trend Micro считает жизненно важным предложить пользователям решение, позволяющее осуществлять финансовые транзакции, не опасаясь компрометации личных данных. Heartbleed – проблема, которая, возможно, никогда не будет решена полностью, но мы предоставляем и вносим актуальные обновления в наши решения, чтобы наилучшим образом защитить данные наших клиентов, а также обеспечить необходимую безопасность на каждом устройстве, которым они пользуются».
    Уже сегодня пользователи могут загрузить сканеры Trend Micro Heartbleed Scanner для их компьютеров и мобильных устройств по ссылке https://chrome.google.com/webstore/detail/trend-micro-openssl-heart/cmib...или https://play.google.com/store/apps/details?id=com.trendmicro.tool.heartb...
     
    • Мне нравится Мне нравится x 3
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Забыл сказать, вот не плохой сервис для проверки на эту уязвимость и проверки на правильность установки сертификата:

    http://www.ssllabs.com/ssltest/

    На ru-sphere.ru такой уязвимости нет и небыло, т.к. лень мне обновлять софт, использую доисторический софт !Hi-H-88

    https://www.ssllabs.com/ssltest/analyze.html?d=ru-sphere.ru
     
    • Мне нравится Мне нравится x 4
  10. Denis27 Уважаемый пользователь
    Denis27
    Ответить в чате

    Форумчанин

    Регистрация:
    04.03.2014
    Сообщения:
    887
    Симпатии:
    3.419
    Пол:
    Мужской
    Репа:
    +3.420 / 0 / -0
    • Мне нравится Мне нравится x 2

Поделиться этой страницей