Néha eszembe jut, hogy amikor megtalálnak egy ilyen "sebezhetőséget" akkor valóban csak egy bugot találnak meg vagy egy valakik által szándékosan odarakott ajtót.

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

Szivesen latnek azert egy proof of conceptet, ertem, hogy egy sulyos bugrol van szo, de a kihasznalhatosaga szamomra kerdeses. A memoriaban levo sslv3 struktura utan levo 64k memoria erheto el, mennyi a valoszinusege annak, hogy ott kritikus _es_ visszafejtheto adat van?

while (!sleep) sheep++;

akartam írni, hogyha már javítva van a hiba, akkor miért csak most derült ki, de aztán láttam, hogy az 1.0.1g tegnap jelent meg.

It's a rare occurrence, like a double rainbow, or someone on the Internet saying, "You know what? You've convinced me I was wrong."

Ez nem most derült ki, csak most jelentették be. Hogy Hofit idézzem : "Olyan mint amikor a gyereken a guminadrág kilyukad. Nem akkor ment bele amikor kijött belőle."
Amíg nincs kijavítva, addig nem jó nagy dobra verni, mert akkor boldog-boldogtalan nekiáll hekkelni az ilyen szervereket.

[ Szerkesztve ]

--==<< ...csütörtökön a lényeg, hogy egyet alszom és péntek! >>==--

Nem kell mindenhol összeesküvés elméletet keresni.

Programoztál már valaha?

tely, baly, fojó, mennyél, mingyárt, telyföl, tolyás, malyd, kapú, egyenlőre, ejsd, jáccani, ahoz, fúj, hüje, muszály, alat, álok, lasan, fojtatás, ál, fontós, költsön, eggyüt, lyob (jobb?), mek, mongyak, milyért - !!! Tanúlyunk már meghejjessen irni... !!!

1) Van PoC, nem nehéz megtalálni.
2) Nagyon valószínű, nagy forgalmú site-oknál gyakorlatilag biztos.

http://buhera.blog.hu

az openssl emlékeim szerint nem linuxos cucc, hanem opsnbsd. a hupon volt anno hír arról, hogy az egyik fejlesztő nyilatkozta, hogy őt megkeresték, de nem vállalta. Azt simán elhiszem, hogy őt megkeresték, abban, hogy nem vállalta (és hogy azóta se???) vannak bennem kérdőjelek.

mindenesetre az tény, hogy ez a felvetésed egyáltalán nem légből kapott.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez piszkosul nem csak a webservereket jelenti ám, ssh, mail, ez mindent érint.
Szerintem írjátok át a címet.

Ubuntu Server 12.04.4 LTS-en már ez a verzió van (tegnap vagy ma jött):

Version: 1.0.1-4ubuntu5.12

Akkor ez már védett?

Cikk végén a tesztoldal, próbáld ki.

Commodore Plus/4 --- Személyi számítógép beépített profi szoftverrel

Meg újra kell indítani a szolgáltatásokat, az nem szabad kifelejteni. Ilyen pl a webserver.

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Próbáltam, de csak tölt, tölt, tölt és semmi.

Ha nem írja ki, hogy Vulnerable, akkor minden OK.

Viccen kívül, esetleg nézesd meg egy ismerősöddel is, hátha neki betölti az oldalt rendesen.

Commodore Plus/4 --- Személyi számítógép beépített profi szoftverrel

Igen, ott meg a következő LTS-ben már foltozva van.

en hiaba update-elem itt a szervereimet, nekem meg mindig csak a 1.0.1f van a repositoryban. pedig itt mintha ugy beszelgetnenek rola, hogy mar kitoltak. kozponti szerver, nincs mirror. akkor most mi van?!

raadasul elkezdtem utanaolvasgatni, az alapjan nagyon nagy baj van. ha a yahoo is kiszolgaltatja idegen felhasznalok nevet es jelszavat, mert eppen benne vannak a memoriaban (gondolom most leptek be), akkor gyakorlatilag nem a saajt gepeinken levo kulcsokat, hanem az osszes jelszavunkat a vilagon le kell cserelni. persze csak az utan, hogy azokon a gepeken frissitettek a libet, ami pedig mikor tortenik meg? mindenkinek irjunk egy emailt, hogy megvan mar?

es akkor meg nem beszeltem arrol, hogy 2 ev alatt vajon milyen adat ment ki...

debian wheezyre már van update, még újra is indítja az érintett processzeket (futtattam, próbáltam, teszteltem, tudom); amúgy:
http://www.openssl.org/source/

[ Szerkesztve ]

ez a te geped, ennek nincs koze a no-ip-hez. a noip csak azon a reszen erintett, mikor a user/jelszavaddal megadod az uj ip-det, amire frissiteni akarsz (hogy ez milyen interfaceen tortenik, nemtom, lehet a routered, lehet a pc-den futo script (pl ez-ipupdate) vagy lehet kezzel), ezt az adatot lehet ellopni es visszaelni vele. emiatt gyakorlatilag nem egy prioritas, bar ha tudjak alcazni a geped, amire be akarsz lepni, helyettesitik egy sajattal, es nem figyelsz oda, akkor meg tudjak szerezni a jelszavad. ennel nagyobb baj, hogy a szolgaltatok is openssl-t hasznalnak, a webes levelezok, bankok, stb

@cadeyrn: raprobaltam, wheezy tenyleg oke mar, de a jessie-s desktopom meg mindig nem

[ Szerkesztve ]

Magyarországi sebezhetőségi helyzet és javítás módja:
http://heartbleed.onloop.me/
Némileg "szerencse", hogy a hazai szervereken nincs túlságosan elterjedve az https használata, így viszonylag kevés szolgáltatást érintett a hiba.

[ Szerkesztve ]

Nem a routerrel van a baj, hanem a géppel amire a no-ip-s domain van irányítva.

Commodore Plus/4 --- Személyi számítógép beépített profi szoftverrel

https://heartbleed.com/

What leaks in practice?

We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.

@jFox:1.0.1f-ben még benne van, az meg január elején jött ki. 1.0.1-gyel implementálták, majdnem két évig rejtőzött.

[ Szerkesztve ]

Tudod, mit jelent az, hogy nemezis? Az érintett, erősebb fél kinyilatkoztatása a méltó büntetés mértékét illetően. Az érintett fél jelen esetben egy szadista állat... én.

Igen, azota jobban utanaolvastam.

while (!sleep) sheep++;