Chyba Debian OpenSSL (iDnes)

[menganito]

http://technet.idnes.cz/kriticka-chyba-dva-roky-byly-vase-zabezpecene-komunikace-nezabezpecene-1nf-/software.asp?c=A080526_070312_software_vse

Vie niekto viac? Mám sa s tým trápiť, ohrozuje ma to?
Alebo je to nie nebezpečná chyba, ktorú nafúkli (predsa len, iDnes má rád MS...)

[Tomáš Jančík]

nevim jak moc je nebezpeřná, ale každopádně už je aspoň týden známá, už tuším byla i aktualizace...

[8472]

jj, to uz je stare, a riesi sa to uz aj tu:
https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/230197

[Evžen Šubrt]

Myslí, že to je docela rána pro Ubuntu, Debian i Linux obecně. Vždy se hovořilo o vyšší bezpečnosti oproti "děravým windows", teď už to tak suverenně trvdit nikdonemůže.

[menganito]

EuGenio: presne to ma na tom dosť rozčúlilo - v krátkom čase druhá vážna(?) chyba... Dosť to kazí image "bezpečného" OS.

[8472]

tak tak , suhlasim, ja som v piatok upgradoval v praci na HH, a kedze aktivne vyuzivam rozne spojenia na ine pocitace ci servre, tak som mal na ploche linky na tie masiny. a hned boli v prdeli, k comu som zistil min. dalsie dva bugy ktore uz boli zaznamenane:
https://bugs.launchpad.net/ubuntu/+source/nautilus/+bug/216104
https://bugs.launchpad.net/ubuntu/+source/gvfs/+bug/207072

tymto ma docela dost nahnevali, kedze sa o tom vedelo uz aj v testovacich verziach, a oni to este slahli do ostreho releasu? no fakt ma dost napalili.

[wam]Spider007]

ja by som to az tak cierno nevidel...
vsade su chyby s tym clovek nic nespravi, ale je len dobre ze sa na ne pride a opravia sa

[Marvn]

viz. http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/ (12 dni stare)

zvlastni, ze se o tom zacalo mluvit az ted...zeby tolik lidi cerpalo od mistra?

[ubuntu luky]

ja bych z toho nedelal tragedii. rozhodne to nezni jako rajska hudba tato informace ale jinak plati co rek rucnicek. kazdy software ma chyby. jenom abyste meli prehled. v microsoftu plati interni smernice ktera uzmoznuje beta versi operacniho systemu vydat teprve co obsahuje  "jenom" 500 zaznamenanych chyb. cili kdyz se vyvijeli visty, tak meli treba 1200 podchycenych chyb ale nemohli ten system vydat dokud to nesnizili na 500 chyb, proto se vydani systemu porad odkladalo.

[Rincewind]

Myslí, že to je docela rána pro Ubuntu, Debian i Linux obecně. Vždy se hovořilo o vyšší bezpečnosti oproti "děravým windows", teď už to tak suverenně trvdit nikdonemůže.

To že je něco víc bezpečné neznamená, že to je absolutně bezpečné. V žádném případě to není první ani poslední bezpečnostní chyba linuxu (byť tato se týkala jen debianích klonů, protože ji stvořili vývojáři debianu). Myslím, že argumentace o vyšší  bezpečnosti není o tom, že je linux bez chyb, ale o tom, že jeho systém opravy chyb je pružnější, lepší a transparentnější než u windows (opensource - každý kdo chce ví na čem je x proprietální windows - když budeme chtít, tak vám o chybě alespoň povíme, když nebudeme, máte smůlu). Rozumný člověk si toho je vědom, ti ostatní čerpají z iDnes

[ubuntu luky]

a k tvoji otazce jestli te to muze ohrozit tak si myslim ze nemuze. nemuze proto protoze jako beznyho uzivatele se te tato chyba nedotkla a ikdyby ti bezel nekde treba server a ty se k nemu pripojoval pres SSH a pouzival by si nejakej ten slabej klic kterej vznikl diky teto chybe tak me opravte ale i tak te to ohrozit nemuze. protoze aby nekdo zjistil ten klic to by musel odposlouchavat nejdriv pakety na tvym pc, a paklize nekdo odposlouchava pakety na tvym pc tak si uz napadenej ted nehlede na to jestli je nekde nejaka chyba nebo ne co se tyce SSL nebo SSH.

[stderr]

a k tvoji otazce jestli te to muze ohrozit tak si myslim ze nemuze. nemuze proto protoze jako beznyho uzivatele se te tato chyba nedotkla a ikdyby ti bezel nekde treba server a ty se k nemu pripojoval pres SSH a pouzival by si nejakej ten slabej klic kterej vznikl diky teto chybe tak me opravte ale i tak te to ohrozit nemuze. protoze aby nekdo zjistil ten klic to by musel odposlouchavat nejdriv pakety na tvym pc, a paklize nekdo odposlouchava pakety na tvym pc tak si uz napadenej ted nehlede na to jestli je nekde nejaka chyba nebo ne co se tyce SSL nebo SSH.

Tak teď přemýšlím, k čemu že to SSL a SSH vlastně máme ;-)
Samozřejmě, že je třeba se obávat... Třeba z pohledu běženého uživatele, který používá jen "blbý" internetový bankovnictví. Přihlásí se, posílá si vesele po síti informace (protokol https) a nějaký MITM (Man-in-the-middle) je v klidu rozkódovává, vč. přihlašovacího jména a hesla..nevím, mě by to možná vadilo, i když se mi tam hemží jen tisícovky..
to co napsal rADo je pravda..jen to napsal zas trochu přehnaně, ale to je holt jeho styl

[mycz]

Na lzive.cz taky zase perlili...
btw: Uz je to pres tyden stare, tak proc to vytahujou az ted? Ted kdyz uz je vsechno opraveno....

[Marvn]

jj, no je legracni, kolik se najednou vyrojilo adminu-expertu na kryptografii

[emil54]

Ja bych to zbytecne nedramatizovasl, je sice blby, ze takova dira muze vesele existovat bez povsimnuti dva roky, ale podstatny je, ze se k tomu vyvojari postavili celem, opravili to a priznali.
Spis mne zarazil ten casovej odstup, kdy se to zjistilo a kdy se tim tim zacla zabyvat media a to vcetne vsech zahranicnich - viz. treba http://www.dailytech.com/Huge+Hole+in+Open+Source+Software+Found+Leaves+Millions+Vulnerable/article11869.htm . O lochne se vi od 13. kvetna a pisalkove si na tom honeji triko az od 23. kvetna. 10 dnu tutlani?
I kdyz mozna je lepsi nejdriv prusvih zaflastrovat a pak to oznamit - proc zbytecne davat kdejakymu vymastenymu pubescentovi navod, jak snadno hacknout masinu s debianem, ze?

[Tomáš Jančík]

systém opravy chyb je pružnější

to bych zrovna ted moc nevytahoval. pry tam ta chyba byla pekne dlouhou dobu... je pravda, ze od obeveni chyby uz je to otazka hodin, max nekolika malo dnu do opraveni

[ubuntu luky]

proc zbytecne davat kdejakymu vymastenymu pubescentovi navod, jak snadno hacknout masinu s debianem, ze?

dal by si mi prosim te konkretni priklad jak chces diky tomu hacknout masinu s debianem? protoze ja myslim ze to s hackovanim masiny s debianem vubec nesouvisi. souvisi to maximalne s tim ze kdyz nekdo odposlouchava komunikaci tak je schopny ji desifrovat. ale nema to co delat s hackovanim masin.

[emil54]

proc zbytecne davat kdejakymu vymastenymu pubescentovi navod, jak snadno hacknout masinu s debianem, ze?

dal by si mi prosim te konkretni priklad jak chces diky tomu hacknout masinu s debianem? protoze ja myslim ze to s hackovanim masiny s debianem vubec nesouvisi. souvisi to maximalne s tim ze kdyz nekdo odposlouchava komunikaci tak je schopny ji desifrovat. ale nema to co delat s hackovanim masin.

Jo? a jak se teda podle tebe hakujou servery? Bud to zajisti nejakej password_cracker - to v pripade, ze treba na masine, ktera se hlasi jako nejaky_jmeno ma stejnyho uzivatele s passwordem "12345" nebo rovnou taky nejaky "nejaky_jmeno" .
A nebo pak prave odposlouchanim komunikace mezi lokalem uzivatele, ci spravce se serverem po (ne)zabezpecenym protokole.

I kdyz je faskt, ze s opravdovym hackovanim to moc nesouvisi, to patri skutecne spis k zabavam pubertaku.

[Nemo7]

Přihlásí se, posílá si vesele po síti informace (protokol https) a nějaký MITM (Man-in-the-middle) je v klidu rozkódovává, vč. přihlašovacího jména a hesla..nevím, mě by to možná vadilo, i když se mi tam hemží jen tisícovky..

Vytrženo z diskuze  : http://www.zive.cz/Bleskovky/Miliony-open-source-operacnich-systemu-postizeny-bezpecnostni-chybou/sc-4-sr-1-a-141925/default.aspx?forum

6. Moje bankove konto je v pr....
- Uplna chobotina. Banky nepouzivaju OpenSSL na generovanie klucov. Rovnako nepouzivaju ziadne linuxove distro out-of-the-box.
7. Toto je strasna IT tragedia, vacsia nez Cernobyl.
- Uplna chobotina. Debian ma pod 3% serveroveho trhu.

[Pavel Půlpán]

Hackeři tu chybu dokážou najít a opravit bo nahlásit. Zneužijí jenom debilové...

[emil54]

Hackeři tu chybu dokážou najít a opravit bo nahlásit. Zneužijí jenom debilové...

No prave

[ubuntu luky]

podivej ja si klidne nainstaluju na server teda debian, reknu ti ip, nainstaluji si tam ten slabej certifikat a stejne mi to nehacknes. a klidne ti reknu heslo roota a ani to ti nepomuze. proc? protoze si nastavim spravu jen z my ip adresy. a pokud jde o ten druhy pripad ze ti nekdo nainstaluje na local odposlouchavani packetu tak uz pro nej neni problem udelat cokoliv jineho odposlouchavani klaves, takze ti ukradne vsechny hesla a to uz moc nema spolecnyho s puvodnim nedostatkem 

predstav si ze nekde v australii tedka bezi server ktery pouziva ty slaby certifikaty a k cemu ti to je ta informace? dokud se nedostanes k jeho komunikaci tak ti to vubec neni platny tohle.

[emil54]

podivej ja si klidne nainstaluju na server teda debian, reknu ti ip, nainstaluji si tam ten slabej certifikat a stejne mi to nehacknes. a klidne ti reknu heslo roota a ani to ti nepomuze. proc? protoze si nastavim spravu jen z my ip adresy. a pokud jde o ten druhy pripad ze ti nekdo nainstaluje na local odposlouchavani packetu tak uz pro nej neni problem udelat cokoliv jineho odposlouchavani klaves, takze ti ukradne vsechny hesla a to uz moc nema spolecnyho s puvodnim nedostatkem 

predstav si ze nekde v australii tedka bezi server ktery pouziva ty slaby certifikaty a k cemu ti to je ta informace? dokud se nedostanes k jeho komunikaci tak ti to vubec neni platny tohle.

Vis Luki, nic ve zlaym, ale ty mas jeden problem, ty totiz musis kazdyho chytat za slovicko a protoze mas nejspis od vseho klice, musis mit taky vzdycky posledni slovo s cervenou pastelkou v ruce...
Nejses nahodou ucitel? 

Takze abych to uzavrel, pac to nikam nevede:
Puvodne jsem psal, ze vyvojari nejdriv opravili douru a az posleze vec dali ve znamost, coz chapu, protoze proc davad blbcum navod jak (a tady jsem mel napsat "to zneuzit").... a psal jsem, ze mne zarazi tech 10 dnu - to je dost dlouha doba...
Napsal jsem, co jsem napsal a trvam si na tom, i kdyz uznavam, ze ssh ve spojeni s primitivnim hackingem neni nejvetsi potencialni nebezpeci v souvislosti s touhle kauzou. Nicmene uz to nehodlam dale pitvat. Kdo chtel, tak to pochopil spravne.

[wam]Spider007]

Hulan sa uz tiez vyjadril, toto on potreboval

[ubuntu luky]

dyt ja nic nezazlivam.. jestli se divis tomu ze se vystavujou navody tak to je bezna praxe. proste se objevi chyba ktera se zdokumentuje delalo se to tak vzdy a stale se to dela. ja te nechytal za slovicko jenom jsem cekal ze vysypes z rukavu nejakej navod a ja se priucim v opacnem pripade si me ujistil a mozna nektery lidi okolo ze se neni ceho bat protoze realny riziko nehrozi. zatim sme se shodli na tom ze riziko nastane jen v pripade lokalniho utoku 

napriklad hulan placa na svym webu neco o 30 000 kombinaci hesla a prolomeni SSH a pritom zamerne zatajuje informaci ze kazdej admin si nastavi server tak aby sel spravovat jen z urcity ip nebo tam ma blokovani spatnych pokusu.