IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Внимание! Серьёзная уязвимость OpenSSL
Поделиться
Смит
сообщение 10.4.2014, 10:48
Сообщение #1


Мастер
******

Группа: Главный администратор
Сообщений: 869
Регистрация: 25.11.2006
Вставить ник
Цитата
Пользователь №: 5
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 12


Внимание! Серьёзная уязвимось OpenSSL
Проверте Ваши сервера и хосты.

Российская газета и другие СМИ сообщают...

Открытый криптографический пакет OpenSSL содержит опасную уязвимость, которая позволяет злоумышленникам получать доступ к оперативной памяти компьютеров. Информация об этом опубликована на сайте разработчиков пакета.

Уязвимость обнаружена в версии OpenSSL 1.0.1, которая вышла в марте 2012 года. Таким образом, в течение более чем двух лет злоумышленники имели возможность похищать информацию, используя данную брешь в безопасности, оставаясь при этом незамеченными. Воспользовались ли хакеры этой возможностью, неизвестно.

На сегодняшний день уязвимая версия OpenSSL работает на многих почтовых серверах в интернете, веб-серверах Apache и Nginx, в программах для обмена сообщениями и так далее. Как пишет Ars Technica, до 2/3 всех веб-серверов в Сети, использующих протокол HTTPS, подвержены риску утери конфиденциальной пользовательской информации, включая пароли и ключи шифрования.

В настоящее время разработчики OpenSSL выпустили "заплатку" - версию 1.0.1g, которую всем администраторам и разработчикам рекомендуется установить как можно быстрее. После установки обновления пользователи веб-сервисов должны быть предупреждены о возможной утечке их паролей.

Энтузиасты, обнаружившие уязвимость, запустили специальный сайт, который проверяет, подвержен тот или иной сайт возможной краже информации с использованием данной уязвимости. Как показали результаты тестирования, большинство популярных в России веб-сервисов, включая Gmail и "Яндекс.Почту", не содержат "дыру" в безопасности, позволяющую похищать пользовательские и другие данные. Подробное описание уязвимости и перечень мер по обеспечению безопасности на английском языке опубликованы на сайте Heartbleed.com.
==================

Даю адрес сайта, где можно провериться на наличие уязвимости: http://filippo.io/Heartbleed/

Наш сервер со всеми хостами (где лежит этот форум) проверен, проблемы нет.


--------------------
Смит: Синтетическая Машина для Интенсивного Террора
Kiborg - GOST 34327-69 Made in USSR
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 18.4.2014, 9:47
Сообщение #2


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


Спасибочки. Сбегал по ссылке, хотел проверить свой сайт. Фигушки, говорит, проверяем хостинг. Ну проверил хостинг...
All good, timeweb.ru seems fixed or unaffected!
Успокоился...


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 19.4.2014, 11:29
Сообщение #3


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9987
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


Цитата(robinzoid @ 18.4.2014, 9:47) *
Спасибочки. Сбегал по ссылке, хотел проверить свой сайт. Фигушки, говорит, проверяем хостинг. Ну проверил хостинг...
All good, timeweb.ru seems fixed or unaffected!

Насколько я понимаю, это не гарантирует того, что какая-то информация не украдена уже раньше wink.gif Впрочем, беспокоиться надо в первую очередь тем, у кого могли украсть что-то действительно серьёзное и опасное.


--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
speccyfighter
сообщение 4.5.2014, 17:11
Сообщение #4


Крупный специалист
*****

Группа: Пользователь
Сообщений: 461
Регистрация: 1.5.2013
Вставить ник
Цитата
Пользователь №: 2379
Страна: Беларусь
Город: Не указан
Пол: Муж.



Репутация: 1


Цитата(IVK @ 19.4.2014, 9:29) *
Впрочем, беспокоиться надо в первую очередь тем, у кого могли украсть что-то действительно серьёзное и опасное.


Очень философская и неоднозначная вещь в плане действительно серьёзного и опасного.
Ситуация для рядового пользователя может выглядеть так:
Существует аккаунт в интернет магазине. Есть две группы полей. В одной группе указывается фиксированный адрес доставки, в другой - любой произвольный. Результатом клиент сам определяет адрес доставки в очень широком диапазоне. В известном смысле безграничном. Оплачивает услуги владелец аккаунта.
Не нужно быть сильно догадливым, чтобы представить, что для рядового клиента ниоткуда взявшаяся сумма оплаты за ниоткуда взявшийся заказ, может оказаться просто фантастической.

Поэтому на мой взгляд, вопрос "а что там у меня делается и насколько это катастрофично" должен задать себе каждый.
Впрочем задавать его себе нужно и при отсутствии уязвимостей.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 4.5.2014, 19:13
Сообщение #5


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9987
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


Да, всё это, конечно, так mellow.gif Но вот конкретно по этому случаю... Чтобы найти уязвимость, о которой никто не знает, надо быть достаточно серьёзным хакером. Это ведь совсем не то же самое, что готовые эксплоиты юзать, чем всякие недозрелые "хакеры" балуются wink.gif Думаю, если кто-то всё же нашёл эту уязвимость и решил на этом нажиться, то он, скорее всего, решил бы ограбить кого-нибудь достаточно богатого, а не кого попало (или похитить действительно важную информацию, а не какую попало). Но это, конечно, чисто теоретические рассуждения smile.gif


--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
( Гостей: 1 )
Пользователей: 0

 



RSS Текстовая версия Сейчас: 28.3.2024, 19:39