• Объявления

    • Кабозя

      Объявление   01.01.2017

      Уважаемые форумчане! Подписывайтесь на новостные источники:
      Viber: http://viber.com/motosaratov
      ВК: https://vk.com/moto.saratov
      Instagram: https://instagram.com/motosaratov

      В сезоне 2017, на наших каналах, Вы сможете узнать о самых актуальных новостях, не только в мире мототехники, но и сводки ДТП, акции ГИБДД и много другой полезной информации в нашем регионе и за ее пределами.

Gregory Erkinbald

Возможная угроза безопасности PC

В теме 6 сообщений

Люди, связанные с IT, скорее всего знают, что недавно было обнаружена ошибка безопасности крипто-пакета OpenSSL под названием "Heartbleed".
Для остальных - немного полезной информации.
 
В той или иной степени эта проблема касается почти ⅔ веб-приложений в Интернете, поэтому здесь приведена небольшая справка, чтобы избежать дезинформации:
 
Какие версии OpenSSL уязвимы?
- OpenSSL 1.0.1 branch, 1.0.1f included
 
Ошибка не распространяется:
- OpenSSL 0.9.8 и 1.0.0 branches, 1.0.1g
 
Что может украсть злоумышленник?
Закрытый ключ SSL / TLS Сервер , если сервер уязвим; Приватный ключ Клиента SSL / TLS , если клиент уязвим; куки (cookies), логины, пароли и любые другие данные, передающиеся между клиентом и сервером.
 
Для использования уязвимости не обязательно прослушивать соединение между клиентом и сервером, а достаточно послать специально созданный пакета (что не может быть записано в файлах журнала/лога сервера).
 
Какие ОС подвержены уязвимости?
- Ubuntu 12.04.4 LTS - исправлено в OpenSSL 1.0.1- 4ubuntu5.12 ( USN )
- CentOS 6.5 - исправлена ​​в OpenSSL- 1.0.1e - 16.el6_5.7
- Fedora 19 и 20 - исправлено в OpenSSL- 1.0.1e -37 
- Redhat 6.5 - исправлено ​​в OpenSSL- 1.0.1e - 16.el6_5.7 
- Debian - исправлено в OpenSSL 1.0.1e - 2 + deb7u5 и 1.0.1e - 2 + deb7u6
- Gentoo - исправлено в OpenSSL - 1.0.1g ( GLSA )
- OpenSUSE 12.3 и 13.1 - исправлено в OpenSSL- 1.0.1e
- FreeBSD 10.0 - исправлено в 10,0 p1 
- Amazon - исправлено в OpenSSL 1.0.1e - 37,66
 
Обычно следующие сервисы зависят от/используют уязвимой библиотеки и требует перезагрузки после патча :
- Веб-серверы : Nginx , Apache
- MySQL, если  для авторизации используется TLS
 
Какие ОС и программы не затрагивает уязвимость?
- Windows - нет встроенной OpenSSL
- MacOS / IOS - не подверженная уязвимости версия OpenSSL
- Firefox, Thunderbird - использует NSS по умолчанию
- Chrome - использует NSS по умолчанию
- Android - функция отключена
- Сертификаты CA - нет приватных ключей на уязвимые серверы
- OpenSSH
 
Ё! Спасите ж мою заднюю подвеску, Д'Артаньян! ЧТО ДЕЛАТЬ?
  1.  В случае попадания Вашей ОС в категорию уязвимых -  обновите программное обеспечение OpenSSL на ваших рабочих станциях и серверах
  2. Перегенерируйте используемые серверный и клиентские сертификаты
  3. Смените пароль!
Список популярных сервисов, подверженных уязвимости здесь
 

TL; DR (Для тех, кому лень читать сообщение и/или нужен рецепт защитных тортиков)

 
To Кабозя & тех.поддержка форума: если к каким-либо сервисам мото64, использующим OpenSSL привязана карточка с тоннами денег - лучше проверить, не попадают ли они в список уязвимых
 
Всем остальным. 
Если у Вас есть аккаунт на одном из следующих сервисов - Facebook / Instagram / Pinterest / Tumblr / Twitter / Google / Gmail / Yahoo / Amazon WS / GoDaddy / DropBox / MineCraft / SoundCloud - смените пароль
 
Большинство гигантов индустрии уже "вылечили" свои системы, но частная информация могла быть скомпрометирована этой уязвимостью.
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Главное тут - МОГЛА БЫТЬ. Или не могла. Пароль менять советуют на всякий случай и раздувают истерию. Бага на самом деле очень нехорошая, но пофиксили её быстро (бол-во ресурсов). Вопрос скорее в том, нашёл ли кто-то её раньше и использовал ли? Второй вопрос - так ли важна ваша информация из указанных сервисов, чтобы трястись за неё? Если да - меняйте пароли.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Главное тут - МОГЛА БЫТЬ. Или не могла. Пароль менять советуют на всякий случай и раздувают истерию. Бага на самом деле очень нехорошая, но пофиксили её быстро (бол-во ресурсов). Вопрос скорее в том, нашёл ли кто-то её раньше и использовал ли? Второй вопрос - так ли важна ваша информация из указанных сервисов, чтобы трястись за неё? Если да - меняйте пароли.

 

Я вот думаю, что это не ошибка по оплошности, а специально внесенный баг.

На мото64 openssl не подвержен

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На мото64 openssl не подвержен

 

Мы его победим танками и самолётами! Ну накрайняк лопатой совковой шваркнем! Да, Игорь?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я вот думаю, что это не ошибка по оплошности, а специально внесенный баг.

На мото64 openssl не подвержен

Кто знает, историй про "закладки" всякими заинтересованными людьми в ПО очень много.

 

Между мото64 и клиентом (мотоциклистом) - нет, соединение и так простой HTTP :)

Это на тот случай, если используемые для работы форума сервисы (движок форума, бд) используют компоненты, которые подвержены уязвимости. 

А клиентам популярных сервисов - сменить иногда пароль - полезно.  :cl:

 

В общем - береженого Бог бережет. 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Эксперт по безопасности Брюс Шнайер назвал Heartbleed катастрофой. «По десятибалльной шкале это тянет на 11»,

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу