Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 22
Ну радует только то, что не все могут MITM. Но все равно задолбали.
Так ведь после прошлого события библиотеку взялись активно проверять.
И ещё много найдут, код там ужасен.
Внезапно я был прав :)
habrahabr.ru/post/218609/#comment_7475841
habrahabr.ru/post/218609/#comment_7475841
серьёзные уязвимости типа Heartbleed побудили разработчиков, исследователей и простых пользователей к повышенно внимательному изучению надежности этих продуктов.
Будем надеяться, что сейчас наковыряют уязвимостей по-максимуму и пофиксят, потом поспокойнее станет. Все-таки лучше знать, что уязвимость была, но исправлена, чем вообще о ней не знать.
В убунте уже исправлено.
А вот в дебиане — толи я не смог найти правильный ченджлог, толи еще нет :(
А вот в дебиане — толи я не смог найти правильный ченджлог, толи еще нет :(
На precise тоже прилетело обновление, LTS как-никак.
Вот если бы только это… полный список
Ну этот список всё же в основном воспроизводится, что называется, в лабораторных условиях.
Хотя хотелось бы отметить пачку CVE в реализации DTLS. Ведь Heartbleed тоже имел к DTLS прямое отношение. Если у кого используется DTLS — лучше откажитесь от него, от греха подальше.
Хотя хотелось бы отметить пачку CVE в реализации DTLS. Ведь Heartbleed тоже имел к DTLS прямое отношение. Если у кого используется DTLS — лучше откажитесь от него, от греха подальше.
Что интересно: одна из уязвимостей в реализации DTLS — за авторством всё того же Робина Зеггельманна, «отца» Heartbleed.
Автор как-то уж больно спокойно относится к MITM-атаке. Короткий ответ на заданный им вопрос должен быть таким: да, необходимо волноваться и исправлять ASAP.
В CentOS/RHEL 6.5 исправлено.
# rpm -q --changelog openssl | head -20
* Mon Jun 02 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.14
— fix CVE-2010-5298 — possible use of memory after free
— fix CVE-2014-0195 — buffer overflow via invalid DTLS fragment
— fix CVE-2014-0198 — possible NULL pointer dereference
— fix CVE-2014-0221 — DoS from invalid DTLS handshake packet
— fix CVE-2014-0224 — SSL/TLS MITM vulnerability
— fix CVE-2014-3470 — client-side DoS when using anonymous ECDH
Не могу найти для SUSE Linux Enterprise Server 11 пакета исправления… Ткните, пожалуйста, кто нашел? Стоит версия OpenSSL 0.9.8j-fips, после обновления не пришла OpenSSL 0.9.8za…
Идём сюда: tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140605-openssl#ID
Жмём «Affected Products».
Теперь играем в игру — назовите какой-либо продукт Циски, которого нет в этом списке.
Жмём «Affected Products».
Теперь играем в игру — назовите какой-либо продукт Циски, которого нет в этом списке.
Фигасе решето.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
OpenSSL: новая уязвимость: возможность выполнить MITM атаку (CVE-2014-0224)