Heartbleed Bug hírcsokor

Titkosítás, biztonság, privát szféra

A legfrissebb hírek, történések a "Heartbleed" OpenSSL buggal (CVE-2014-0160) kapcsolatban az elmúlt órákból, napokból:

( szilas | 2014. 04. 12., szo – 15:34 )

Ez egy nagyon kijózanító eset. Gyakorlatilag rámutat, hogy hiába titkosítasz a weben, nem ér semmit. Mert ki tudja hány ilyen hiba van még vagy szándékosan vagy véletlenül a biztonsági megoldásokban.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

Ja, én is pont ezen agyaltam most. Ez egy triviális bug, megáll az ész. Azt vártam, hogy egy biztonsági szoftverben legalább 2-3-szor leellenőriznek mindent.....
Ez egy eszelős nagy pofon. Mondjuk én semmit nem tárolok "felhőben", minden fontos adatom privát szerón vagy lokálban van....
Vicc.... egy nagyon rossz vicc...

--
GPLv3-as hozzászólás.

Azért talán nem árt leszögezni, hogy a konkrét esethez az égvilágon semmi köze nem volt semmiféle rendőrállamnak. Egy fejlesztő ittasan vezette számítógépét, áttért a menetirány szerint sötét oldalra és ott összeütközött a vele szemben szabályosan közlekedő józan ésszel.

---
Science for fun...

( procika v | 2014. 04. 12., szo – 17:16 )

Sziasztok!

Heti hajtás után most ébredtem és olvasgatom mi is ez. Van egy rakad Debian, Ubuntu szerverem / VPS-em. Ezeket rendszeresen frissítem, tehát ha most vagy jövő hét folyamán lefrissítem akkor ez már javított verzióval fog futni. Tegnap egy Proxmox telepítés utáni frissítés is lehúzta már.

Nem gondolom, hogy az én webes levelezőim, pár weboldalam lenne a cél, de mivel a robotok nem válogatnak így kérdezném, hogy:

Kell-e tanúsítványt cserélni ahol https-t, IMAP SSL/TLS-t használok?
Lehetett-e jelszó kiszivárgás SSL/TLS-t használó IMAP kapcsolatoknál?

Mennyire kell ezt túlparázni mint üzemeltető? Azt vágom, hogy a történet siralmas és az ilyenek után egyre kevésbé hiszek a nagy felhő mizériában.

Első lépésben azt kell összeszedned, hogy érintettek-e a szervereid a buggal kapcsolatban. Például a Debian "oldstable" nem az. A "stable" viszont az. Az Ubuntu 12.04.4 LTS is.

Nyilván ilyenkor a legrosszabb forgatókönyvvel érdemes számolni, azaz a feladat:

"After patching, private keys and certificates exposed to services running this code (for example web/mail server SSL certificates) should be replaced and old certificates revoked."

--
trey @ gépház

( b | 2014. 04. 12., szo – 20:18 )

Hát akit érdekel, már kinn van a javított kód. Most 3-szor ellenőrzik a packethosszt. Hogy mondjam, így kellett volna elsőre lol.

--
GPLv3-as hozzászólás.

( log69 | 2014. 04. 13., v – 21:56 )

nem tudnanak matematikailag igazolni vagy legalabb nagy mertekben vizsgalni egy ilyen fontos implementaciot?

( turul16 v | 2014. 04. 14., h – 15:26 )

A coverity latja ezt a hibat ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( uid_7086 | 2014. 04. 17., cs – 21:47 )

Csak nekem furcsa, hogy a Debian wheezy-re a mai napig nincs javítás?
Vagy valamit rosszul csináltok?

OpenSSL 1.0.1e 11 Feb 2013
Ha jól tudom, ez érintett...

Van jelentősége, mert nyilván nem verziót fognak lépni egy stable disztróban, hanem a meglevőt patchelik.

A DSA-2896-ból:

"For the stable distribution (wheezy), this problem has been fixed in version 1.0.1e-2+deb7u5."

A packages.debian.org szerint a wheezy jelenleg a 1.0.1e-2+deb7u7-nél tart. Ezért lenne fontos látni, hogy mi a pontos verzió.

--
trey @ gépház