LINUX.ORG.RU

В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик

 , ,


2

9

Команда разработчиков OpenSSL Project выпустила срочный бюллетень безопасности, гласящий о критической уязвимости в библиотеке OpenSSL, которую обнаружили подразделение Google Security и компания Codenomicon.

Уязвимость, которой присвоен код CVE-2014-0160, находится в расширении Heartbeat (RFC6520) протокола TLS. Из-за отсутствия необходимой проверки в одной из функций, злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, использующих OpenSSL. В том числе, доступ к секретным ключам, именам/паролям пользователей и всему зашифрованному трафику. При этом, на компьютере не оставалось никаких следов проникновения.

Любой, кому было известно об уязвимости, мог прослушивать зашифрованный трафик в Интернете с марта 2012 года (когда вышла OpenSSL 1.0.1). Как раз тогда была опубликована методика атаки на протокол SSL - BEAST, в связи с чем многие перешли на более защищенную версию TLS 1.2, поддержка которой появилась именно в OpenSSL 1.0.1. Уязвимая версия OpenSSL используется практически во всем Интернете: веб-серверами Nginx и Apache, почтовыми и IM-серверами, VPN-серверами и клиентами, и массой других программ.

Уязвимы все ветки OpenSSL 1.0.1 и 1.0.2-beta. Всем пострадавшим нужно как можно скорее обновиться до версии 1.0.1g, а также создать новые ключи и сертификаты. В случае невозможности немедленного обновления необходимо пересобрать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

>>> Подробности

anonymous

Проверено: maxcom ()

Ответ на: комментарий от anonymous

Ты вот сам уже логически пришел к тому, что ОПО - просто малина для шпионов.

Я пришел к выводу, что разговариваю с психом.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

«Я пришел к выводу, что разговариваю с психом.»

Отойди от зеркала.

anonymous ()
Ответ на: комментарий от anonymous

Перечитай новость, бэкдор сделан в репозиториях всех распространенных дистрибутивов. Это показывает никчемность модели разработки ОПО, когда любой шпион может войти в команду разработчиков и запилить бекдор в своей части, куда другие члены команды и не полезут никогда.

Перечитай новость, случайно допущенная в исходниках ошибка была найдена благодаря модели разработки ОПО, которая позволила постороннему девелоперу открыть исходники и найти ошибку. Это в закрытом ПО любой шпион может войти в команду разработчиков, запилить бекдор, и его не найдут никогда. Такие дела.

anonymous ()
Ответ на: комментарий от anonymous

Ооо, кошмар, твой мир рухнул, сайт ФБР уязвим. Ничего святого. и что, уязвимость в сайте ФБР что-то доказывает...

Мой? Нет, мой не рухнул. Это же не я толкаю теории о заговоре спецслужб.

anonymous ()
Ответ на: комментарий от anonymous

«случайно допущенная в исходниках ошибка была найдена благодаря модели разработки ОПО, которая позволила постороннему девелоперу открыть исходники и найти ошибку.»

Ага, через два года. Когда уже все что можно утекло. Модель разработки ОПО позволяет любому шпиону открыть исходники и наделать новых бекдоров.

anonymous ()
Ответ на: комментарий от anonymous

«Это же не я толкаю теории о заговоре спецслужб.»

Это не теории, это обычный факт, многократно доказанный жизнью. Открытые исходники открыты для всех, это и в лицензии ГПЛ написано, вот террористы и шпионы и пользуются своими правами.

anonymous ()
Ответ на: комментарий от anonymous

OpenSSL is written by monkeys

This Connection is Untrusted. You have asked Firefox to connect securely to http://www.peereboom.us, but we can't confirm that your connection is secure.

Очень мило, дальше можно даже не читать, если они используют самоподписанный сертификат

X-Pilot ★★★★★ ()
Ответ на: комментарий от ValdikSS

Причем, внимание, OpenVPN нужно перекомпилировать, а не просто обновить libssl!

Это с чего бы ? Кто-то ещё не использует разделяемые библиотеки ? :-)

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Модель разработки ОПО позволяет любому шпиону открыть исходники и наделать новых бекдоров.

Почему шпиону? Она даже мне позволяет скачать исходники ядра и наделать там чего угодно. Но какой мне толк от бекдора на собственной машине?

anonymous ()
Ответ на: комментарий от anonymous

Открытые исходники открыты для всех, это и в лицензии ГПЛ написано, вот террористы и шпионы и пользуются своими правами.

Для непонятливых троллей, сравниваем Закрытое ПО и Открытое ПО, по пунктам:
1. Позволяет случайно совершить ошибку: ОПО: да; ЗПО: да
2. Позволяет постороннему разработчику найти и исправить ошибку: ОПО: да; ЗПО: нет
3. Позволяет шпионам/хакерам/спецслужбам внедриться в команду или заплатить девелоперу для внедрения бекдора: ОПО: да; ЗПО: да
4. Позволяет независимым девелоперам найти бекдор: ОПО: да; ЗПО: нет

Итого: модель разработки ОПО более безопасна, т.к. мешает шпионам незаметно внедрять бекдоры. ОПО не идеально, но ничего лучше пока не придумали. Сноуден согласен.

anonymous ()
Ответ на: комментарий от X-Pilot

Подождите, а что, Debian какой-то особенный?

В debian oldstable, впрочем, как и в CentOS 5, баги нет.

Хотя нет, он же и вправду особенный! Предсказуемый генератор случайных чисел в Debian/Ubuntu

Да, тот баг дебиановцам будут долго вспоминать. Но то мелочь, по сравнению с сабжем.

Где же хвалебные оды безопасности OpenBSD?

anonymous ()

А как насчет В-нды? libeay31(32).dll и ssleay31(32).dll уязвимы?

anonymous ()
Ответ на: комментарий от anonymous

«Сноуден согласен.»

Почему меня должно впечатлить мнение предателя?

anonymous ()
Ответ на: комментарий от anonymous

Перед кем он предатель? Перед властью отдельно взятой страны или перед человеческой цивилизацией? И что важнее?

PreciousProtection ()
Ответ на: комментарий от PreciousProtection

Человек, предавший свою страну и своих сограждан, предал всю человеческую цивилизацию. Потому что предательство не может быть оправдано ничем, оно является самым страшным преступлением против цивилизации. Те, кто одобряют его предательство - они не цивилизация.

anonymous ()
Ответ на: комментарий от anonymous

Отвечаю сам себе: видимо, подвержены, в ченджлоге есть запись. Советую всем заинтересованным скачать с офсайта и заменить дырявые. Учитывая, что вин-проги любят таскать свои либы с собой, будет весело. Завтра надо будет заставить эникеев проверить версии, а то мало ли что. Хоть В-нда и сама не образец секурности, плюс одна дырка, да еще и столь широко разрекламированная уж явно ни к чему.

anonymous ()
Ответ на: комментарий от anonymous

Согласен. И пейтон до кучи, худший говнокод, чем на пейтоне сложно даже вообразить.

anonymous ()
Ответ на: комментарий от anonymous

Но то мелочь, по сравнению с сабжем.

Обе уязвимости крайне неприятны

X-Pilot ★★★★★ ()
Ответ на: комментарий от anonymous

Я у себя давно уже придумал класть все подобные библиотеки (libeay32.dll, ssleay32, 7za.dll, unrar.dll) в одно место и делать на них симлинки для софта, таскающего библиотеки с собой. Например, так делать набирающий популярность RSS-ридер QuiteRSS. Ему сам бог велел соединяться с кучей веб-серверов, а мне совсем не хочется, чтобы у этих серверов появился доступ к оперативной памяти моей машины.

anonymous ()

Перевод статьи с техническими подробностями уязвимости. Основной вывод - не стоит писать такие критические вещи на C.

anonymous ()

Видать АНБ нашло новую дыру, а старую в целях безопасности прикрыли. Как страшно жить в этом мире.

KennyMinigun ★★★★★ ()

Хитрый ход.

Заявить всем что старая версия либы уязвима, накалякать эксплойт который рандомно печатает что все уязвимо.

И заставить всех обновится на свежезапиленный настоящий бэкдор, о котором никто пока не в курсе...

anonymous ()
Ответ на: комментарий от anonymous

+100500

Заодно продавцы памяти обрадуются, вон как раз вчера 128ГБ модуль выкатили.

anonymous ()

Пытался обновится в убунте 13.10 нету обнов, это как понимать?

anonymous ()
Ответ на: комментарий от anonymous

Так и понимать. Тебя кинули. Ты не нужен Марку. Но это не самое страшное... Марк больше нам не нужен

anonymous ()
Ответ на: Re: Ээээ... от anonymous

Re: Ээээ...

часть серверов вовремя не обновится - софт со статически влинкованным openssl тоже обновится не сразу и не весь

Вот тебе и плюсик в защиту Gentoo на серверах.

WatchCat ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Мне, как пользователю, юзающему это самое SSL-соединение для банк-клиента - бояться надо? Хотя... СМС-подтверждения это дополнительная степень защиты, которую так просто не объедешь...

как раз таки СМС в этом случае совершенно бесполезная вещь, так как злоумышленник осуществляет вход в уже открытую сессию с банк клиентом. Пользователь банк клиента при этом не получит никакого дополнительного смс оповещения.

HighwayStar ★★★★★ ()
Ответ на: комментарий от anonymous

Он не предал своих сограждан, а показал, что они сами были обмануты правительством, и были под тотальным контролем.

Власть США сделала по-настоящему страшное преступление — она нарушила конфиденциальность и личное пространство миллионов людей по всему миру просто так, даже своих собственных граждан.

Кому нужна цивилизация, когда базовые права и свободы каждого человека нарушаются небольшой группой людей?

PreciousProtection ()
Ответ на: комментарий от HighwayStar

смс используются не для входа, а для любых операций с перемещением денег

manntes-live ★★ ()
Ответ на: комментарий от HighwayStar

как раз таки СМС в этом случае совершенно бесполезная вещь, так как злоумышленник осуществляет вход в уже открытую сессию с банк клиентом

войти - вошел, а деньги без СМС не перечислит никуда

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

ну зато посмотрел ФИО, номер телефона, последние 4 цифры карты, последние операции, почту. Далее соц инженерия с техподдержкой банка или клиентом банка.

HighwayStar ★★★★★ ()
Последнее исправление: HighwayStar (всего исправлений: 1)
Ответ на: комментарий от HighwayStar

Далее соц инженерия с техподдержкой банка или клиентом банка

Банк предупреждает что не будет обращаться к клиенту за любой информацией, ибо она у них и так есть, а нужно это только мошенникам. В общем, удачи :) лох == судьба :)

I-Love-Microsoft ★★★★★ ()

Обновился, ключи менять не стал. Больше не верю в шифрование.

nixit ★★ ()

Массовый отзыв сертификатов намечается? На удачу посмотрел троих, openshift и гугл.ру забили, AWS разослал письма счастья и сертификат у него вчерашним числом [про первых двух кровоточащее сердце говорило ай-яй-яй]. Гложет паранойя: толку от https с потенциально скомпрометированными сертификатами никакого. Хорошо хоть банк-клиент работает на православном IIS.

naszar ()
Ответ на: комментарий от naszar

Хорошо хоть банк-клиент работает на православном IIS.

Он тоже уязвим.

anonymous ()
Ответ на: комментарий от anonymous

запретить C и С++ на государственном уровне.

Тогда будут для скорости пользоваться ассемблером. Ещё больше наворотят :)

anonymous ()

Да вы совсем чтоле ебанулись.

anonymous ()
Ответ на: комментарий от anonymous

OpenSSL is written by monkeys
https://www.peereboom.us/assl/assl/html/openssl.html

Список претензий: «не хочу работать в командной строке, хочу написать свою программу», «они смешивают CamelCase с подчёркиваниями», «у них неправильные отступы», «они пользуются goto», «они не сделали функцию СделатьЗашибись_для_Марко_Питербума». После недели попыток отказался от этой затеи. Плюс так и не смог сгенерировать для своего сайта нормальный сертификат.

anonymous ()

нет, и че? как этим пользоваться-то? :)

Rastafarra ★★★ ()
Ответ на: комментарий от anonymous

Ты хотел сказать «купить сертификат»? У каких-то, сомнительных со всех точек зрения, authorities, плотно натянутых бутылочным горлышком, с одной стороны, на NSA и, с другой стороны, на духовные скрепы сисадминов и руководителей этих конторок? Позволь узнать, каков сакральный смысл подобного приобретения?

binhex512 ()
Ответ на: комментарий от binhex512

Можно же подписать свой. В том числе бесплатно. Неосиливание этого == лишняя уязвимость: MiTM становится не просто, а очень просто сделать, не через либастрал же каждому клиенту закидывать открытый ключ.

x3al ★★★★★ ()
Ответ на: комментарий от TEX

Тем не менее, в OpenSSL уязвимость гораздо опаснее, так как позволяет не просто сделать MitM (для этого ещё нужны условия), а получить дампы памяти, где могут быть и ключи/пароли с администраторским доступом, и другие секретные данные, с помощью которых можно получить гораздо больше привилегий и данных.

PreciousProtection ()
Ответ на: комментарий от X-Pilot

если они используют самоподписанный сертификат

И что ? Я на каком основании должен, например, верисигну доверять какому-то ?

AS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.