Heartbleed (CVE-2014-0160) 0day pažeidžiamumas

Vakar išplatintas oficialus pranešimas. Atrasta kritinė spraga OpenSSL'e (tiksliau TLS dalyje), kuri leidžia iš pažeidžiamo serverio skaityti atmintį (RAM'us). Tai ištikro labai rimta, nes tik nedaugelis rimtų portalų ir finansinių sistemų spėjo laiku panaudoti patch'ą. Taip, pavyzdžiui, yandex.ru užlopyjo pas save skylę tik praėjus 11ai valandų po pranešimo. Kas turite VPS'us ir naudojate SSL'ą su Apache arba nginx'u, tai kuo greičiau patch'inkite OpenSSL. Nes pasinaudojus eksploitais, nesunkiai galima perskaityti ir slaptažodžius, ir vartotojų cookius ir bet ką kitko, kas yra ramuose (taip, tikrai veikia :) ). Ir kas valandą atsiranda vis naujų eksploitų.

Xakep.ru rašo, kad jeigu dabar didžiosios sistemos operatyviai nesureaguos, tai ši diena gali likti interneto istorijoje kaip "Pasaulinio nulaužimo diena".

Patikrinti ar serveris pažeidžiamas - http://filippo.io/Heartbleed/ (kartoju - galioja tik serveriams, naudojantiems SSL (https protokolą))

Ką daryti? - Paupdeitinti openssl versija (ubuntu repozitorijose jau yra užpatchinta versija).

Tik įsivaizduokit - galite perskaityti bet kurią informaciją, kuria serveris operuoja ramuose. Kiek nuostolių gali atnešti šitas dalykas. Kai kurie didieji lietuviški portalai vis dar neužlopyjo šio pažeidžiamumo. Access log'ai ramuose pilasi su visais lankytojų cookiais - įdomu :D kaip manote, ar bus didelių nuostolių? Ar serverių administratoriai sugebės operatyviai sureaguot?

EDIT: Sorry, tik dabar pastebėjau jau sukurtą temą - http://uzdarbis.lt/t307178/kritine-ssl-klaida-patikrinkite-savo-serverius/ . Na nieko, gal taip dar daugiau žmonių pastebės :)

Tai jau taip, tuos sausainiukus srebia visi kaip išmanydami, kas anksčiau ar vėliau pasiviešina.. reikėtų tuos ėdrūnus čiut sudrausminti, atrodo be cookies jau nieko nebegali daryt.

O čia irgi įdomu, SSL, tai jau saugiau nebūna.. o va ima ir pasidaro nesaugiausia.. įdomu, kiek dar spragų likę ir tų kurių nepaviešino

O čia irgi įdomu, SSL, tai jau saugiau nebūna.. o va ima ir pasidaro nesaugiausia.. įdomu, kiek dar spragų likę ir tų kurių nepaviešino

Ne SSL bėda iš esmės, o tiesiog klaida implementacijoje. Kur C, ten su atmintimi žaisti nesaugu :)

Ir kažkaip norisi tikėti, jog po truputį tokiems svarbiems dalykams bus pradėtos naudoti saugesnės kalbos... Rust, ateityje galbūt Go.

įdomu, ar kas per tuos 2 metus sugebėjo pasinaudoti šia sparaga. Manau tokių perliukų gali būti ir daugiau, tik jie dar neatrasti :)

Huh, užtrukau 2 dienas visus servus updatinti....

Pagaliau sutvarkyta ir visi klientai saugūs:)

Tik reikia dar re-issue visus SSL sertifikatus.....

Huh, užtrukau 2 dienas visus servus updatinti....

 

Pagaliau sutvarkyta ir visi klientai saugūs:)

 

Tik reikia dar re-issue visus SSL sertifikatus.....

štai kodėl 9-10d buvo swed techniniai darbai

O čia irgi įdomu, SSL, tai jau saugiau nebūna.. o va ima ir pasidaro nesaugiausia.. įdomu, kiek dar spragų likę ir tų kurių nepaviešino

Prie ko čia SSL? Darbe adminai nei jaudinosi, nei kažką darė, nes mūsų klientai yra saugūs, kadangi naudoja SSL.

Sakė "it's a good day to be Microsoft Server administrator".

pwnt :rofl:

Ateičiai - rinkitės .NET shopą, o ne Java ar PHP. :lololo:

Prie ko čia SSL? Darbe adminai nei jaudinosi, nei kažką darė, nes mūsų klientai yra saugūs, kadangi naudoja SSL.

 

Sakė "it's a good day to be Microsoft Server administrator".

 

pwnt :rofl:

 

Ateičiai - rinkitės .NET shopą, o ne Java ar PHP. :lololo:

Jei jau ant asp ar ko ten parašyta, dar nereiškias, kad openssl nėra server-side :)

Tikriausiai darbe adminai pirma kursiai....vien dėl to, kad naudoja SSL dar nereiškias, kad nėra pažeidžiama....:)

Jei jau ant asp ar ko ten parašyta, dar nereiškias, kad openssl nėra server-side :)

 

Tikriausiai darbe adminai pirma kursiai....vien dėl to, kad naudoja SSL dar nereiškias, kad nėra pažeidžiama....:)

Tei kad tu čia pirmakursis.

Prie ko ASP? 14 metų senumo technologija.

Prie ko išvis frameworkas, programavimo kalba ir serverių administravimas?

Prie ko OpenSSL? Ką tik paaiškinau, kad mes .NET shopas? Manai, klientai nesugeba nusipirkti MS Windows Server licenzijos, tad mūsų produktai veikia ant Linux? Heressy.

Realiai, prie ko čia tas "nėra pažeidžiama" ir adminai? Adminai savo darbą padarė - bet kurio projekto daugiau nei pusė serverių nepasiekiami, keli pasiekiami iškišę programuotojų darbą, jeigu dėl programuotojų sauguma spraga yra - prie ko čia adminai? Dabar gali ten visas savo nesąmones triesi, kad "visos sistemos yra pažeidžiamos", bet šiuo metu aš nesėdžiu ant torčiaus ir į metadiskusijas nesileisiu.

Man patinka linuxistai. "think outside the box - use linux", bet visiškai nesusivokia, kad yra ir daugiau, nei Linux, Apache, nginx, OpenSSL, PHP...

#justopensourcethings

Tei kad tu čia pirmakursis.

 

Prie ko ASP? 14 metų senumo technologija.

Prie ko išvis frameworkas, programavimo kalba ir serverių administravimas?

Prie ko OpenSSL? Ką tik paaiškinau, kad mes .NET shopas? Manai, klientai nesugeba nusipirkti MS Windows Server licenzijos, tad mūsų produktai veikia ant Linux? Heressy.

Realiai, prie ko čia tas "nėra pažeidžiama" ir adminai? Adminai savo darbą padarė - bet kurio projekto daugiau nei pusė serverių nepasiekiami, keli pasiekiami iškišę programuotojų darbą, jeigu dėl programuotojų sauguma spraga yra - prie ko čia adminai? Dabar gali ten visas savo nesąmones triesi, kad "visos sistemos yra pažeidžiamos", bet šiuo metu aš nesėdžiu ant torčiaus ir į metadiskusijas nesileisiu.

 

Man patinka linuxistai. "think outside the box - use linux", bet visiškai nesusivokia, kad yra ir daugiau, nei Linux, Apache, nginx, OpenSSL, PHP...

#justopensourcethings

Kažkaip tu čia viską į vieną katilą sumėtei ir sumaišei. Kodėl tu klausi "Prie ko OpenSSL"? Prie to, kad būtent jo implementacijoje rastas bug'as. Prie ko čia išvis .NET'as arba OS'as? MS aplinkoje tas pats IIS irgi gali naudoti OpenSSL'ą (nors ir ne by default), gali būti sistema parašyta su MS'o technologijom, bet priekyje stovėt koks nors load balancer'is su OpenSSL'u (nginx'as, HAProxy ir pan.). Prie ko "klientai nesugeba nusipirkti MS lincenzijos"? Tavo nuomone, kad žmonės, kurie dirba su Linux, taip daro todėl, kad neturi pinigų MS Windows Server licencijai, nors tau ir patinka linuxistai? ;] kažkas čia nesiriša.

Žodžiu, kažkaip daug pievų prirašei ir pradėjai lyginti, atsiprašau, pimpalą su granata.

Kažkaip tu čia viską į vieną katilą sumėtei ir sumaišei. Kodėl tu klausi "Prie ko OpenSSL"? Prie to, kad būtent jo implementacijoje rastas bug'as. Prie ko čia išvis .NET'as arba OS'as? MS aplinkoje tas pats IIS irgi gali naudoti OpenSSL'ą (nors ir ne by default), gali būti sistema parašyta su MS'o technologijom, bet priekyje stovėt koks nors load balancer'is su OpenSSL'u (nginx'as, HAProxy ir pan.). Prie ko "klientai nesugeba nusipirkti MS lincenzijos"? Tavo nuomone, kad žmonės, kurie dirba su Linux, taip daro todėl, kad neturi pinigų MS Windows Server licencijai, nors tau ir patinka linuxistai? ;] kažkas čia nesiriša.

 

Žodžiu, kažkaip daug pievų prirašei ir pradėjai lyginti, atsiprašau, pimpalą su granata.

God damn it.

Microsoft - no openssl, no, just no openssl, nope, nuh-huh, no.

Tad jei kažkas vis dar OpenSSL mato pas mane postuose - ryškiai mano, jog naudojam Linux ir Mono.

Come on now seriously, OpenSSL - tikrai ne visas pasaulis.