Comments | securityblogru: Баг в реализации heartbeat в openssl

dil in securityblogru

Баг в реализации heartbeat в openssl

Apr 08, 2014 13:08

Серьёзный такой, говорят, позволяет вытянуть до 64 килобайт памяти (за одну попытку, а попыток в одной сессии можно проделать сколь угодно много) из подключённого по SSL клиента или сервера. А там могут лежать ключи в открытом виде ( Read more... )

ssl, уязвимость, encryption

Leave a comment

Back to all threads

ex_leo_sosn April 8 2014, 13:04:37 UTC

не понимаю как это работает, например

вот взять опенвпн, на него это влияет или нет, если опенвпн использует уязвимую опенссл?

dil April 8 2014, 13:08:18 UTC

What is leaked primary key material and how to recover?

These are the crown jewels, the encryption keys themselves. Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will. Any protection given by the encryption and the signatures in the X.509 certificates can be bypassed.

ex_leo_sosn April 8 2014, 13:16:50 UTC

значит аффектед

побежал всё менять

ex_leo_sosn April 8 2014, 13:28:18 UTC

wait a second, это описание того, что можно изъять из скомпрометированной системы. Но неясен сам механизм компрометации. Я не знаю как используется опенссл для ссл на линуксе, в опенвпн она используется для генерации сертификатов. Значит ли это, что кто-то может влезть в ВПН канал?

ximaera April 8 2014, 13:39:32 UTC

Нет, уязвимы только сетевые службы, использующие libssl. Сертификаты и ключи, сгенерированные утилитой openssl, сами по себе не скомпрометированы.

ex_leo_sosn April 8 2014, 13:51:54 UTC

уфф, уже полегчало

то есть и иис например и фтпс серверы использовавшие уязвимый опенссл для выпуска самоподписанных сертификатов в порядке

ximaera April 8 2014, 14:35:21 UTC

Должно быть так.

А FTPS-сервер какой конструкции?

ex_leo_sosn April 8 2014, 20:57:47 UTC

Файлзилла для виндовс

dot_sent April 10 2014, 17:36:20 UTC

http://community.openvpn.net/openvpn/wiki/heartbleed

Кратко: менять ВСЕ ключи и сертификаты, потому что они могли быть скомпрометированы. Увы :/

dil April 8 2014, 13:56:46 UTC

Не, генерация сертификатов тут ни при чём. Уязвимость в реализации протокола, срабатывает во время установленного SSL-сеанса.

vitus_wagner April 8 2014, 18:42:26 UTC

Уязвимость-то в libssl которая вполне используется в том числе и openvpn. Правда, у openvpn есть опция tls-auth, которая позволяет допускать до tls-ного хэндшейка только тех, кто владеет некоторым общим секретом (симметричным ключом). Если она у вас включена, то угроза ровно настолько, насколько вы доверяете своим клиентам.

Back to all threads