Gregory Erkinbald

Возможная угроза безопасности PC

6 сообщений в этой теме

Люди, связанные с IT, скорее всего знают, что недавно было обнаружена ошибка безопасности крипто-пакета OpenSSL под названием "Heartbleed".
Для остальных - немного полезной информации.
 
В той или иной степени эта проблема касается почти ⅔ веб-приложений в Интернете, поэтому здесь приведена небольшая справка, чтобы избежать дезинформации:
 
Какие версии OpenSSL уязвимы?
- OpenSSL 1.0.1 branch, 1.0.1f included
 
Ошибка не распространяется:
- OpenSSL 0.9.8 и 1.0.0 branches, 1.0.1g
 
Что может украсть злоумышленник?
Закрытый ключ SSL / TLS Сервер , если сервер уязвим; Приватный ключ Клиента SSL / TLS , если клиент уязвим; куки (cookies), логины, пароли и любые другие данные, передающиеся между клиентом и сервером.
 
Для использования уязвимости не обязательно прослушивать соединение между клиентом и сервером, а достаточно послать специально созданный пакета (что не может быть записано в файлах журнала/лога сервера).
 
Какие ОС подвержены уязвимости?
- Ubuntu 12.04.4 LTS - исправлено в OpenSSL 1.0.1- 4ubuntu5.12 ( USN )
- CentOS 6.5 - исправлена ​​в OpenSSL- 1.0.1e - 16.el6_5.7
- Fedora 19 и 20 - исправлено в OpenSSL- 1.0.1e -37 
- Redhat 6.5 - исправлено ​​в OpenSSL- 1.0.1e - 16.el6_5.7 
- Debian - исправлено в OpenSSL 1.0.1e - 2 + deb7u5 и 1.0.1e - 2 + deb7u6
- Gentoo - исправлено в OpenSSL - 1.0.1g ( GLSA )
- OpenSUSE 12.3 и 13.1 - исправлено в OpenSSL- 1.0.1e
- FreeBSD 10.0 - исправлено в 10,0 p1 
- Amazon - исправлено в OpenSSL 1.0.1e - 37,66
 
Обычно следующие сервисы зависят от/используют уязвимой библиотеки и требует перезагрузки после патча :
- Веб-серверы : Nginx , Apache
- MySQL, если  для авторизации используется TLS
 
Какие ОС и программы не затрагивает уязвимость?
- Windows - нет встроенной OpenSSL
- MacOS / IOS - не подверженная уязвимости версия OpenSSL
- Firefox, Thunderbird - использует NSS по умолчанию
- Chrome - использует NSS по умолчанию
- Android - функция отключена
- Сертификаты CA - нет приватных ключей на уязвимые серверы
- OpenSSH
 
Ё! Спасите ж мою заднюю подвеску, Д'Артаньян! ЧТО ДЕЛАТЬ?
  1.  В случае попадания Вашей ОС в категорию уязвимых -  обновите программное обеспечение OpenSSL на ваших рабочих станциях и серверах
  2. Перегенерируйте используемые серверный и клиентские сертификаты
  3. Смените пароль!
Список популярных сервисов, подверженных уязвимости здесь
 

TL; DR (Для тех, кому лень читать сообщение и/или нужен рецепт защитных тортиков)

 
To Кабозя & тех.поддержка форума: если к каким-либо сервисам мото64, использующим OpenSSL привязана карточка с тоннами денег - лучше проверить, не попадают ли они в список уязвимых
 
Всем остальным. 
Если у Вас есть аккаунт на одном из следующих сервисов - Facebook / Instagram / Pinterest / Tumblr / Twitter / Google / Gmail / Yahoo / Amazon WS / GoDaddy / DropBox / MineCraft / SoundCloud - смените пароль
 
Большинство гигантов индустрии уже "вылечили" свои системы, но частная информация могла быть скомпрометирована этой уязвимостью.
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Главное тут - МОГЛА БЫТЬ. Или не могла. Пароль менять советуют на всякий случай и раздувают истерию. Бага на самом деле очень нехорошая, но пофиксили её быстро (бол-во ресурсов). Вопрос скорее в том, нашёл ли кто-то её раньше и использовал ли? Второй вопрос - так ли важна ваша информация из указанных сервисов, чтобы трястись за неё? Если да - меняйте пароли.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Главное тут - МОГЛА БЫТЬ. Или не могла. Пароль менять советуют на всякий случай и раздувают истерию. Бага на самом деле очень нехорошая, но пофиксили её быстро (бол-во ресурсов). Вопрос скорее в том, нашёл ли кто-то её раньше и использовал ли? Второй вопрос - так ли важна ваша информация из указанных сервисов, чтобы трястись за неё? Если да - меняйте пароли.

 

Я вот думаю, что это не ошибка по оплошности, а специально внесенный баг.

На мото64 openssl не подвержен

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На мото64 openssl не подвержен

 

Мы его победим танками и самолётами! Ну накрайняк лопатой совковой шваркнем! Да, Игорь?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я вот думаю, что это не ошибка по оплошности, а специально внесенный баг.

На мото64 openssl не подвержен

Кто знает, историй про "закладки" всякими заинтересованными людьми в ПО очень много.

 

Между мото64 и клиентом (мотоциклистом) - нет, соединение и так простой HTTP :)

Это на тот случай, если используемые для работы форума сервисы (движок форума, бд) используют компоненты, которые подвержены уязвимости. 

А клиентам популярных сервисов - сменить иногда пароль - полезно.  :cl:

 

В общем - береженого Бог бережет. 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эксперт по безопасности Брюс Шнайер назвал Heartbleed катастрофой. «По десятибалльной шкале это тянет на 11»,

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу