Всякое
За последнюю неделю скушал ведеко помоев с хартблид багом.
Для танкистов, суть бага заключается в том, что в случае установления безопасной TLS/SSL между двумя хостами, один или оба из которых используют уязвимую (часто встречается) версию OpenSSL, то любой из этих двух, как и любой промежуточный хост, может послать нехитрый hearbeat пакет, которй позволяет шарить по памяти приложения (клиента или сервера), выцеплять оттуда путем наложение выцепленных данных приватные ключи и невесть что еще. Что в самой сессии значения не играет. Сборка библиотеки отключение hearbeat (DOPENSSL_NO_HEARTBEATS) тоже (внимание те, кто считает, что решил проблему таким образом). Детектить можно только полным дампом транспорта. Мерзейшая штука.
Собственно, уязвимость приехала в патче этой библиотеки за час до 1 января. Время, когда меньше всего можно рассчитывать на адекватное ревью кода и прочий контроль. Я когда узнал еще подумал, вот ведь интересное совпадение из разряда неслучайных. И сам баг интересный из разряда "выдать сколько запросили", и как его пропустили без "чистки" входных переменных весьма интересно.
А тут подоспели и вести с полей про NSA.
Есть у меня ощущение, что некто Robin Seggelmann и Stephen Henson стали весьма состоятельным ребятами пару лет назад, также как не верю в то, что у крупнейших компаний не проводится пристального внутреннего ревью подобных библиотек.
Ну и некоторый плевок в сторону RFC-6520, спасибо за экономию на заголовках, но как-то странно было выставлять хартбиты за пределы проверки целостности сессии и снабжать нагрузкой. Такое ружье на стене, которое должно было рано или поздно выстрелить.
Для танкистов, суть бага заключается в том, что в случае установления безопасной TLS/SSL между двумя хостами, один или оба из которых используют уязвимую (часто встречается) версию OpenSSL, то любой из этих двух, как и любой промежуточный хост, может послать нехитрый hearbeat пакет, которй позволяет шарить по памяти приложения (клиента или сервера), выцеплять оттуда путем наложение выцепленных данных приватные ключи и невесть что еще. Что в самой сессии значения не играет. Сборка библиотеки отключение hearbeat (DOPENSSL_NO_HEARTBEATS) тоже (внимание те, кто считает, что решил проблему таким образом). Детектить можно только полным дампом транспорта. Мерзейшая штука.
Собственно, уязвимость приехала в патче этой библиотеки за час до 1 января. Время, когда меньше всего можно рассчитывать на адекватное ревью кода и прочий контроль. Я когда узнал еще подумал, вот ведь интересное совпадение из разряда неслучайных. И сам баг интересный из разряда "выдать сколько запросили", и как его пропустили без "чистки" входных переменных весьма интересно.
А тут подоспели и вести с полей про NSA.
Есть у меня ощущение, что некто Robin Seggelmann и Stephen Henson стали весьма состоятельным ребятами пару лет назад, также как не верю в то, что у крупнейших компаний не проводится пристального внутреннего ревью подобных библиотек.
Ну и некоторый плевок в сторону RFC-6520, спасибо за экономию на заголовках, но как-то странно было выставлять хартбиты за пределы проверки целостности сессии и снабжать нагрузкой. Такое ружье на стене, которое должно было рано или поздно выстрелить.