Fórum Ubuntu CZ/SK
Ostatní => Otevřená diskuze kolem Linuxu a OSS => Téma založeno: Jakub Vaněk 08 Dubna 2014, 16:15:20
-
Ahoj všichni,
už jste četli o této chybě?
https://www.openssl.org/news/secadv_20140407.txt (https://www.openssl.org/news/secadv_20140407.txt)
http://www.pcworld.com/article/2140920/heartbleed-bug-in-openssl-puts-encrypted-communications-at-risk.html (http://www.pcworld.com/article/2140920/heartbleed-bug-in-openssl-puts-encrypted-communications-at-risk.html)
http://it.slashdot.org/story/14/04/07/2354258/openssl-bug-allows-attackers-to-read-memory-in-64k-chunks (http://it.slashdot.org/story/14/04/07/2354258/openssl-bug-allows-attackers-to-read-memory-in-64k-chunks)
Docela mě vyděsilo, že (i když oprava tohoto bugu vyšla hodně brzo, ne-li včera) verze OpenSSL je v Ubuntu 12.04.1 tahle:OpenSSL 1.0.1 14 Mar 2012Co na to říkáte? Mě se to nelíbí. Už jsem maintainerovi <ubuntu-devel-discuss@lists.ubuntu.com> poslal email, ať ve všech Ubuntu, kde je to možné, upgradoval balíky.
EDIT: http://heartbleed.com/
Jdu kompilovat novou verzi.
-
Já bych řekl, že ona "chyba" vznikla v důsledku pečlivé zpravodajské práce informačních služeb. S výrobci SW se domluví, na opensource stačí pár pečlivě připravených "vadných" commitů. Myslíte si, že si Amíci nechají utéct možnost číst šifrovanou komunikaci? Jestli se nepletu, je to už druhý velký průšvih v opensource SSL, který jsem zaregistroval.
-
Budto zalozit alternativu k openssl a dalsim "mainstream" kryptografickym programum, nebo pozorne cist zdrojaky openssl a podobnych.
Ani jedna varianta mi neprijde snadna.
-
http://www.novinky.cz/internet-a-pc/333043-zmente-hesla-vyzyvaji-experti-kvuli-chybe-krvaceni-srdce.html (http://www.novinky.cz/internet-a-pc/333043-zmente-hesla-vyzyvaji-experti-kvuli-chybe-krvaceni-srdce.html)
Nevím, jak moc je to přehnané, ale nehodí se mi to >:( Než si vzpomenu, kde všude mám účty...
-
http://www.novinky.cz/internet-a-pc/333043-zmente-hesla-vyzyvaji-experti-kvuli-chybe-krvaceni-srdce.html (http://www.novinky.cz/internet-a-pc/333043-zmente-hesla-vyzyvaji-experti-kvuli-chybe-krvaceni-srdce.html)
Nevím, jak moc je to přehnané, ale nehodí se mi to >:( Než si vzpomenu, kde všude mám účty...
http://filippo.io/Heartbleed/
otestujte...
edit : mimochodem 8.4.2014 bylo testováno openssl.org - VULNERABLE :D to je moc
CZ : http://hb.pirati.cz/cz.txt
SK : http://hb.pirati.cz/sk.txt
zdroj : pirati.cz
-
Ahoj. A pro mě jako pro laika - lamu je to důvod k panice? A vyplatí se vůbec hesla předělávat když není chyba opravena?
-
Ahoj. A pro mě jako pro laika - lamu je to důvod k panice? A vyplatí se vůbec hesla předělávat když není chyba opravena?
Já si otestoval pomocí odkazu od martyjho http://filippo.io/Heartbleed/ (http://filippo.io/Heartbleed/) vše, kde mám účet a hesla na konfliktních místech jsem změnil...
-
Ahoj, byla zjištěna zranitelnost v openssl a je prý možné odposlechnout hesla, certifikáty a podobně.
Všem adminům radím fix bugu!
Výpis verze ssl:
openssl version -a
Pro zjištění zda má server tuto zranitelnost jděte na test sem:
http://filippo.io/Heartbleed/
Pro fix bugu Ubuntu
sudo apt-get install openssl libssl1.0.0
-
už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035
-
už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035
Ahoj, vím ale nikdo se nezmínil o fixu.
-
Chyba opravená je, záleží na správci, aby toto také promítl do svých instalací.
Celý vtip je ten, že pokud heslo změníš na serveru, který jede na neopraveném openssl,
stejně jej může někdo zachytit.
Takže pokud někde hesla měnit, tak právě tam, kde je vše ok.
-
už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035
Ahoj, vím ale nikdo se nezmínil o fixu.
A to je takový problém ten fix napsat tam? Merge...
-
už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035
Ahoj, vím ale nikdo se nezmínil o fixu.
A to je takový problém ten fix napsat tam? Merge...
Není, jen jsem si říkal že by bylo pěkné to nechat někde navršku, aby člověk nemusel pročítat tolik příspěvků.
-
Jinak ty testy, co jsem postnul, byly ze včera. Před týdnem by dopadly úplně jinak imho.
-
Balíky už opravili:
http://askubuntu.com/questions/445340/patch-openssl-cve-2014-0160-on-ubuntu-12-04
Mám čas změny balíku openssl a libssl1.0.0
ll /var/cache/apt/archives/openssl_1.0.1*
ll /var/cache/apt/archives/libssl1.0.0*-rw-r--r-- 1 root root 518336 dub 7 23:48 /var/cache/apt/archives/openssl_1.0.1-4ubuntu5.12_i386.deb
-rw-r--r-- 1 root root 1009014 dub 7 23:48 /var/cache/apt/archives/libssl1.0.0_1.0.1-4ubuntu5.12_i386.deb
-
Ach jo, lidi jsou nepoučitelný...
Sice nemám rád Microsoft, nemám rád Windows, nemám rád komerciální soft, mám velmi rád open-source, mám velmi rád Linux, ale tohle je moc (vše bylo na Novinkách.cz):
Proč je mi divné,že naprosto každá verze Woken má nějakou závažnou chybu,nebo dokonce bezpečnostní hrozbu?Nepřipadá Vám to jako záměr?Nechávat pro Velkého bratra rezervní skulinku???
Proč pořád otravují s těmi WIDLEMI, ať přejdou lidi na LINUX či MAC, budou se divit, jaký to má výhody a nebudou muset tolik řešit pořád problémy ohledně nějakého zabezpečení. Už se konečně lidi proberte a nebuďte jako ovce, když jedna béééékne tak za ní jde celé stádo !!!!!!
Kdo potřebuje Wokna, aby mohl pařit hry, ten si nezaslouží nic jiného, než vybílit účet.
Linus Torvald je bůh!
Linux nezná viry, Windows je vir!
Platí to i pro Ubuntu linux?? Hehe..asi ne co???:-)))))))))))))))))))
Ale ano, platí :(.
A mnoho podobných. Ani si nepřečtou, že OpenSSL je cross-platformní záležitost a že chyba není v OS.
-
Ach jo, lidi jsou nepoučitelný...
Sice nemám rád Microsoft, nemám rád Windows, nemám rád komerciální soft, mám velmi rád open-source, mám velmi rád Linux, ale tohle je moc (vše bylo na Novinkách.cz):
Proč je mi divné,že naprosto každá verze Woken má nějakou závažnou chybu,nebo dokonce bezpečnostní hrozbu?Nepřipadá Vám to jako záměr?Nechávat pro Velkého bratra rezervní skulinku???
Proč pořád otravují s těmi WIDLEMI, ať přejdou lidi na LINUX či MAC, budou se divit, jaký to má výhody a nebudou muset tolik řešit pořád problémy ohledně nějakého zabezpečení. Už se konečně lidi proberte a nebuďte jako ovce, když jedna béééékne tak za ní jde celé stádo !!!!!!
Kdo potřebuje Wokna, aby mohl pařit hry, ten si nezaslouží nic jiného, než vybílit účet.
Linus Torvald je bůh!
Linux nezná viry, Windows je vir!
Platí to i pro Ubuntu linux?? Hehe..asi ne co???:-)))))))))))))))))))
Ale ano, platí :(.
A mnoho podobných. Ani si nepřečtou, že OpenSSL je cross-platformní záležitost a že chyba není v OS.
Nečti ty diskuze, nečti ty diskuze nebo se z toho zblázníš!! Divím se, že za ten bug nemůže (podle diskutujících) homofilně židoidní multikulturalistická společnost vedená Nečasem...
-
Nečti ty diskuze, nečti ty diskuze nebo se z toho zblázníš!! Divím se, že za ten bug nemůže (podle diskutujících) homofilně židoidní multikulturalistická společnost vedená Nečasem...
Teď jsem si polil klávesnici. ;D
-
Nečti ty diskuze, nečti ty diskuze nebo se z toho zblázníš!! Divím se, že za ten bug nemůže (podle diskutujících) homofilně židoidní multikulturalistická společnost vedená Nečasem...
Já myslel že za to může vrchni nositel virové nákazy Zeman.... 8) 8) 8)
-
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt
je to teda z 8.4.2014, ale pro představu ....
-
Pokud by ještě někdo pochyboval o záměru, tak pěkné počtení je tady
http://m.ihned.cz/c1-62014790-americka-nsa-pry-vedela-dva-roky-o-chybe-heartbleed-vyuzivala-ji-pro-sber-dat
-
Pěkné podrobné vysvětlení celého bugu: http://www.root.cz/clanky/heartbleed-bug-vazna-zranitelnost-v-openssl/ (http://www.root.cz/clanky/heartbleed-bug-vazna-zranitelnost-v-openssl/)
Bohužel i odebrání nebo nepřidání pár řádků může vytvořit bezpečnostní díru takovýchto rozměrů. :(
XKCD: http://imgs.xkcd.com/comics/heartbleed_explanation.png
EDIT: http://xkcd.com/1354/
-
Bohužel i odebrání nebo nepřidání pár řádků může vytvořit bezpečnostní díru takovýchto rozměrů :(
Jeden bezpečnostní expert prý tuto chybu komentoval takto-na stupnici od jedné do desíti je to jedenáctka.