OpenSSL a Heartbleed bug

[Jakub Vaněk]

Ahoj všichni,
už jste četli o této chybě?
https://www.openssl.org/news/secadv_20140407.txt
http://www.pcworld.com/article/2140920/heartbleed-bug-in-openssl-puts-encrypted-communications-at-risk.html
http://it.slashdot.org/story/14/04/07/2354258/openssl-bug-allows-attackers-to-read-memory-in-64k-chunks
Docela mě vyděsilo, že (i když oprava tohoto bugu vyšla hodně brzo, ne-li včera) verze OpenSSL je v Ubuntu 12.04.1 tahle:

Kód: [Vybrat]

OpenSSL 1.0.1 14 Mar 2012Co na to říkáte? Mě se to nelíbí. Už jsem maintainerovi <ubuntu-devel-discuss@lists.ubuntu.com> poslal email, ať ve všech Ubuntu, kde je to možné, upgradoval balíky.
EDIT: http://heartbleed.com/
Jdu kompilovat novou verzi.

[Nemo7]

Já bych řekl, že ona "chyba" vznikla v důsledku pečlivé zpravodajské práce informačních služeb. S výrobci SW se domluví, na opensource stačí pár pečlivě připravených "vadných" commitů. Myslíte si, že si Amíci nechají utéct možnost číst šifrovanou komunikaci? Jestli se nepletu, je to už druhý velký průšvih v opensource SSL, který jsem zaregistroval.

[Šuohob]

Budto zalozit alternativu k openssl a dalsim "mainstream" kryptografickym programum, nebo pozorne cist zdrojaky openssl a podobnych.

Ani jedna varianta mi neprijde snadna.

[Jakub Vaněk]

http://www.novinky.cz/internet-a-pc/333043-zmente-hesla-vyzyvaji-experti-kvuli-chybe-krvaceni-srdce.html
Nevím, jak moc je to přehnané, ale nehodí se mi to  Než si vzpomenu, kde všude mám účty...

[martyj]

http://www.novinky.cz/internet-a-pc/333043-zmente-hesla-vyzyvaji-experti-kvuli-chybe-krvaceni-srdce.html
Nevím, jak moc je to přehnané, ale nehodí se mi to  Než si vzpomenu, kde všude mám účty...

http://filippo.io/Heartbleed/

otestujte...

edit : mimochodem 8.4.2014 bylo testováno openssl.org - VULNERABLE  to je moc

CZ : http://hb.pirati.cz/cz.txt
SK : http://hb.pirati.cz/sk.txt

zdroj : pirati.cz

[unkabunka]

Ahoj. A pro mě jako pro laika - lamu je to důvod k panice? A vyplatí se vůbec hesla předělávat když není chyba opravena?

[geofre]

Ahoj. A pro mě jako pro laika - lamu je to důvod k panice? A vyplatí se vůbec hesla předělávat když není chyba opravena?

Já si otestoval pomocí odkazu od martyjho http://filippo.io/Heartbleed/ vše, kde mám účet a hesla na konfliktních místech jsem změnil...

[donjirka]

Ahoj, byla zjištěna zranitelnost v openssl a je prý možné odposlechnout hesla, certifikáty a podobně.

Všem adminům radím fix bugu!

Výpis verze ssl:

Kód: [Vybrat]

openssl version -a
Pro zjištění zda má server tuto zranitelnost jděte na test sem:
http://filippo.io/Heartbleed/

Pro fix bugu Ubuntu

Kód: [Vybrat]

sudo apt-get install openssl libssl1.0.0

[geofre]

už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035

[donjirka]

už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035

Ahoj, vím ale nikdo se nezmínil o fixu.

[Petr Merlin Vaněček]

Chyba opravená je, záleží na správci, aby toto také promítl do svých instalací.

Celý vtip je ten, že pokud heslo změníš na serveru, který jede na neopraveném openssl,
stejně jej může někdo zachytit.

Takže pokud někde hesla měnit, tak právě tam, kde je vše ok.

[Martin Šácha]

už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035

Ahoj, vím ale nikdo se nezmínil o fixu.

A to je takový problém ten fix napsat tam? Merge...

[donjirka]

už se to tu řeší ;-)
http://forum.ubuntu.cz/index.php?topic=71035

Ahoj, vím ale nikdo se nezmínil o fixu.

A to je takový problém ten fix napsat tam? Merge...

Není, jen jsem si říkal že by bylo pěkné to nechat někde navršku, aby člověk nemusel pročítat tolik příspěvků.

[martyj]

Jinak ty testy, co jsem postnul, byly ze včera. Před týdnem by dopadly úplně jinak imho.

[Jakub Vaněk]

Balíky už opravili:
http://askubuntu.com/questions/445340/patch-openssl-cve-2014-0160-on-ubuntu-12-04
Mám čas změny balíku openssl a libssl1.0.0

Kód: [Vybrat]

ll /var/cache/apt/archives/openssl_1.0.1*
ll /var/cache/apt/archives/libssl1.0.0*

-rw-r--r-- 1 root root 518336 dub  7 23:48 /var/cache/apt/archives/openssl_1.0.1-4ubuntu5.12_i386.deb
-rw-r--r-- 1 root root 1009014 dub  7 23:48 /var/cache/apt/archives/libssl1.0.0_1.0.1-4ubuntu5.12_i386.deb

[Jakub Vaněk]

Ach jo, lidi jsou nepoučitelný...
Sice nemám rád Microsoft, nemám rád Windows, nemám rád komerciální soft, mám velmi rád open-source, mám velmi rád Linux, ale tohle je moc (vše bylo na Novinkách.cz):

Proč je mi divné,že naprosto každá verze Woken má nějakou závažnou chybu,nebo dokonce bezpečnostní hrozbu?Nepřipadá Vám to jako záměr?Nechávat pro Velkého bratra rezervní skulinku???

Proč pořád otravují s těmi WIDLEMI, ať přejdou lidi na LINUX či MAC, budou se divit, jaký to má výhody a nebudou muset tolik řešit pořád problémy ohledně nějakého zabezpečení. Už se konečně lidi proberte a nebuďte jako ovce, když jedna béééékne tak za ní jde celé stádo !!!!!!

Kdo potřebuje Wokna, aby mohl pařit hry, ten si nezaslouží nic jiného, než vybílit účet.

Linus Torvald je bůh!

Linux nezná viry, Windows je vir!

Platí to i pro Ubuntu linux?? Hehe..asi ne co???:-)))))))))))))))))))

Ale ano, platí .

A mnoho podobných. Ani si nepřečtou, že OpenSSL je cross-platformní záležitost a že chyba není v OS.

[geofre]

Ach jo, lidi jsou nepoučitelný...
Sice nemám rád Microsoft, nemám rád Windows, nemám rád komerciální soft, mám velmi rád open-source, mám velmi rád Linux, ale tohle je moc (vše bylo na Novinkách.cz):

Proč je mi divné,že naprosto každá verze Woken má nějakou závažnou chybu,nebo dokonce bezpečnostní hrozbu?Nepřipadá Vám to jako záměr?Nechávat pro Velkého bratra rezervní skulinku???

Proč pořád otravují s těmi WIDLEMI, ať přejdou lidi na LINUX či MAC, budou se divit, jaký to má výhody a nebudou muset tolik řešit pořád problémy ohledně nějakého zabezpečení. Už se konečně lidi proberte a nebuďte jako ovce, když jedna béééékne tak za ní jde celé stádo !!!!!!

Kdo potřebuje Wokna, aby mohl pařit hry, ten si nezaslouží nic jiného, než vybílit účet.

Linus Torvald je bůh!

Linux nezná viry, Windows je vir!

Platí to i pro Ubuntu linux?? Hehe..asi ne co???:-)))))))))))))))))))

Ale ano, platí .

A mnoho podobných. Ani si nepřečtou, že OpenSSL je cross-platformní záležitost a že chyba není v OS.

Nečti ty diskuze, nečti ty diskuze nebo se z toho zblázníš!! Divím se, že za ten bug nemůže (podle diskutujících) homofilně židoidní multikulturalistická společnost vedená Nečasem...

[martyj]

Nečti ty diskuze, nečti ty diskuze nebo se z toho zblázníš!! Divím se, že za ten bug nemůže (podle diskutujících) homofilně židoidní multikulturalistická společnost vedená Nečasem...

Teď jsem si polil klávesnici. 

[pocitacovazachranka]

Nečti ty diskuze, nečti ty diskuze nebo se z toho zblázníš!! Divím se, že za ten bug nemůže (podle diskutujících) homofilně židoidní multikulturalistická společnost vedená Nečasem...

Já myslel že za to může vrchni nositel virové nákazy Zeman.... 

[martyj]

https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt

je to teda z 8.4.2014, ale pro představu ....

[Nemo7]

Pokud by ještě někdo pochyboval o záměru, tak pěkné počtení je tady

http://m.ihned.cz/c1-62014790-americka-nsa-pry-vedela-dva-roky-o-chybe-heartbleed-vyuzivala-ji-pro-sber-dat

[Jakub Vaněk]

Pěkné podrobné vysvětlení celého bugu: http://www.root.cz/clanky/heartbleed-bug-vazna-zranitelnost-v-openssl/
Bohužel i odebrání nebo nepřidání pár řádků může vytvořit bezpečnostní díru takovýchto rozměrů. 

XKCD: http://imgs.xkcd.com/comics/heartbleed_explanation.png
EDIT: http://xkcd.com/1354/

[Nemo7]

Bohužel i odebrání nebo nepřidání pár řádků může vytvořit bezpečnostní díru takovýchto rozměrů

Jeden bezpečnostní expert prý tuto chybu komentoval takto-na stupnici od jedné do desíti je to jedenáctka.