• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Критическая уязвимость в OpenSSL - возможен пиздец )


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой ошибки кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL.

В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:


Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)

CentOS 6.5, OpenSSL 1.0.1e-15)

Fedora 18, OpenSSL 1.0.1e-4

OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)

FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)

NetBSD 5.0.2 (OpenSSL 1.0.1e)

OpenSUSE 12.2 (OpenSSL 1.0.1c)

Дистрибутивы с более ранними версиями OpenSSL:

Debian Squeeze (oldstable),
OpenSSL 0.9.8o-4squeeze14,
SUSE Linux Enterprise Server.


ЧТО РЕКОМЕНДУЕТСЯ ПРЕДПРИНЯТЬ:

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно. Пользователей следует предупредить о возможной утечке их паролей.

В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security.

Именно последний сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код. Ребята из компании Codenomicon подготовили подробное описание бага и даже открыли для него отдельный сайт Heartbleed.com с изображением кровоточащего сердца.


Пожалуйста, будьте внимательны с конфеденциальной информацией.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Арестован первый хакер, эксплуатировавший Heartbleed-уязвимость
19-летний злоумышленник атаковал системы Канадского налогового регулятора и похитил персональные данные 900 граждан страны.
19-летний житель Лондона был арестован местными правоохранительными органами по подозрению во взломе компьютерных систем канадского налогового ведомства (Canada Revenue Agency), в результате чего были скомпрометированы персональные данные 900 граждан.
Расследование инцидента совместно с английскими правоохранителями проводило одно из подразделений Королевской канадской конной полиции по борьбе c технологическими преступлениями. Результатом сотрудничества специалистов стало оперативное обнаружение источника атаки, представлявшего собой персональный компьютер молодого человека по имени Стивен Артуро Солис-Рейес (Stephen Arthuro Solis-Reyes). Он предстанет перед судом в столице Канады 19 июля этого года.
Помощник комиссара Жиль Мишо (Gilles Michaud) заявил , что данный арест демонстрирует высокую степень ответственности органов правопорядка. «Они отнеслись к этому взлому, как к приоритетному случаю и мобилизовали все необходимые ресурсы для разрешения этого вопроса в наиболее сжатые сроки», - подчеркнул Мишо.
Отметим, что, по данным правоохранителей, Стивен Артуро осуществил атаку путем эксплуатации Heartbleed-уязвимости в OpenSSL, информация о которой была обнародована на прошлой неделе.
Источник: securitylab.ru
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
«Они отнеслись к этому взлому, как к приоритетному случаю и мобилизовали все необходимые ресурсы для разрешения этого вопроса в наиболее сжатые сроки»
Всегда умеляло, когда ловят 16-21 подростков, которые и делать-то мало что умеют, ребята вы круты....Dmeh-Smeh-Smeh!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652


OpenVPN успешно скомпрометирован через Heartbleed
Страсти по недавно обнаруженной Heatbleed уязвимости в OpenSSL не утихают. Вчера на портале news.ycombinator.com появилось о том, что исследователям удалось совершить несколько успешных атак на сервер и скомпрометировать приватный ключ, который используется сервером для расшифровки отправленного клиентом трафика.
We have successfully extracted private key material multiple times from an OpenVPN server by exploiting the Heartbleed Bug. The material we found was sufficient for us to recreate the private key and impersonate the server.

As you may know, OpenVPN has an SSL/TLS mode where certificates are used for authentication. OpenVPN multiplexes the SSL/TLS session used for authentication and key exchange with the actual encrypted tunnel data stream. The default TLS library for OpenVPN is OpenSSL.​
Ранее разработчики OpenVPN уже пользователей, что продукт использует библиотеку OpenSSL и является уязвимым для этой атаки. Но до вчерашнего дня не было никакой публичной информации о том, что атака действительно может быть успешно реализована. Исследователи продемонстрировали возможность подделать удаленный сервер через полученный приватный ключ, а также расшифровать с помощью него данные, проходящие между настоящим сервером VPN и самим пользователем.
Для проведения атаки использовалась следующая тестовая конфигурация сервера: ОС Ubuntu 12.04 (виртуализация через KVM) OpenVPN 2.2.1 и OpenSSL 1.0.1-4ubuntu5.11.
Однако, следует уточнить, что такая атака не будет работать против сеансов с включенной опцией аутентификации через TLS, так как в этом случае используется отдельный приватный ключ для шифрования трафика.
The attack vector that is present on the Access Server with the vulnerable OpenSSL libraries is not present on the Connect Clients, so the risk is minimal. Only the server that your client connects to could possibly exploit this vulnerability, and even then it is unlikely because we use Perfect Forward Security and TLS-auth on top of the SSL connection. The security of the data channel itself is not particularly at risk, only the web services on the server themselves are. And even then, since we use a privilege separation model, the web services run in a completely different process than the OpenVPN daemons handling the data connections, and therefore the private keys for your OpenVPN connections are not likely to be at any risk. Even so, we don't want to take chances and are going to release 2.0.7 soon, which will incorporate updated clients as well.​
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
OpenVPN успешно скомпрометирован через Heartbleed
Хоть убейте, но что-то я так и не понял как можно этой уязвимостью воспользоваться ?bam88

Может кто прояснит ?Не въехал!!!

На сколько я понимаю, там нужно поднять свой сервак, далее заманить туда жертву с уязвимым OpenVPN и уже у него потом как-то стырить данные, так-нет ?

А сам сервер можно взломать без этого гема, нет ?

Короче уязвимость, хрен разберёшь как юзать, может она и не такая страшная !Отдыхай!!!
 

carioca_cat

^•-•^
Форумчанин
Регистрация
16.08.2013
Сообщения
188
Репутация
570
Какая-то непонятная шумиха с этой уязвимостью и на Android, и самое интересное, что разные сканеры, которые сейчас сделали для проверки своих устройств - дают абсолютно разные отчёты. К примеру, сканер от Trend Micro Security показывает уязвимость в модуле АнтиВора в антивируснике Dr.Web:
IMG_20140419_170806.jpg
А сканер от Bluebox показывает уязвимость в антивируснике Kaspersky:
IMG_20140419_170745.jpg
Другие сканеры, например, от Lookout, CM - показывают, что всё нормик, и нет никаких уязвимостей. Что попало.. Dmeh-Smeh-Smeh!!!
 
0

0eck

Гость
Trend Micro выпустила два решения против Heartbleed

Чтобы помочь Интернет-пользователям защитить себя от уязвимости Heartbleed, приводящей к нарушению безопасности SSL, Trend Micro Incorporated объявила о выпуске двух бесплатных Heartbleed-сканеров для компьютеров и мобильных устройств. Новые приложения предназначены для проверки веб-сайтов и мобильных приложений для Android, которые могут быть скомпрометированы Heartbleed.
Решения – плагин для браузера Chrome Trend Micro™ Heartbleed Detector и сканер приложений для мобильных устройств на ОС Android, уже доступны бесплатно в магазинах приложений Chrome Web Store и Google Play, соответственно.
Trend Micro Heartbleed Detector представляет собой мультиплатформенный плагин для Chrome, который позволяет пользователям компьютеров с Windows или Mac проверять на уязвимость URL-адреса веб-сайтов. Это приложение устанавливается в один клик.
Исследователи Trend Micro также обнаружили, что мобильные приложения столь же уязвимы к ошибке Heartbleed как и веб-сайты. Для предотвращения этой угрозы, компания Trend Micro разработала Heartbleed-детектор для проверки приложений на мобильных устройствах пользователя, а также серверов, с которыми они взаимодействуют. Если приложение окажется уязвимым к ошибке OpenSSL, детектор предложит пользователю удалить его.
www.anti_malware.ru_files_adm_500x1500_20web_infographic_rus.jpg

«Trend Micro отреагировала на угрозу Heartbleed, предложив инструменты для защиты своих персональных данных всем пользователям Интернета», – говорит Раймунд Генес, технический директор компании Trend Micro. – «Покупки в мобильных приложениях и финансовые операции на мобильных устройствах становятся нормой, и Trend Micro считает жизненно важным предложить пользователям решение, позволяющее осуществлять финансовые транзакции, не опасаясь компрометации личных данных. Heartbleed – проблема, которая, возможно, никогда не будет решена полностью, но мы предоставляем и вносим актуальные обновления в наши решения, чтобы наилучшим образом защитить данные наших клиентов, а также обеспечить необходимую безопасность на каждом устройстве, которым они пользуются».
Уже сегодня пользователи могут загрузить сканеры Trend Micro Heartbleed Scanner для их компьютеров и мобильных устройств по ссылке или
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Забыл сказать, вот не плохой сервис для проверки на эту уязвимость и проверки на правильность установки сертификата:



На ru-sphere.ru такой уязвимости нет и небыло, т.к. лень мне обновлять софт, использую доисторический софт !Hi-H-88

 
Верх Низ