Chyba v OpenSSL otevřela šifrovanou komunikaci serverů

Musel ještě využít tu chybu a ukrást privátní klíč serveru.

Exploity se dají objevit všude tedy i m$.
Nikdo neodhalil ?
Mrkni na zdroják chromu je tam stovka chyb za které dostaneš neuvěřitelné odměny,
Není snadné je odhalit, můžeš si zaplatit někoho kdo tu chybu bude hledat, můžeš jit zneužít sám pro sebe ,ale taky na ní trhnout. -.- logic

Schopnost nalezení chyby je úměrné tomu kolik lidí tuto chybu hledá, případně kolik lidí ověřuje kód, který se vkládá.Hloupá představa plno lidí je, že opensource kód kontroluje více lidí, než uzavřený kód.Není tomu tak a ani tomu není naopak. Jsou to dvě rozdílné věci, které nemají nic společného.Konkrétně OpenSSL se používá na celém světě. Dalo by se říci je to jedna z nejvíce používaných knihoven na světě skrz všechny systémy, přesto má pouze 21 lidí právo přispívat do této knihovny. Z toho pouze jeden je aktivní poslední dobu. Ten ověřil kód obsahující chybu která způsobila ten problém a ten taky vložil opravný kód.
Fakta: Jedna z nejpoužívanějších opensource knihoven na světě. 21 jedna oficiálních přispěvatelů a 1 aktivní.

Já myslel, že open source je automaticky bezpečný a sluníčkový, zatímco "closed source" je hnusný nebezpečný proprietární shit.
Tak už to asi neplatí.

To si myslíš, že MS nemá v systému díry? Akorát do toho nikdo nevidí a proto se o nich nemluví.

blbost. spravna odpoved je o príspevok vyssie

A porovnej, za jak dlouho po odhalení byla tato chyba opravena a jak dlouho to trvá těm líným prasatům z MS..

Chyba byla jistě spustou hackerů, institucí atd. odhalena už dávno, takže je úplně uprde1e, za jak dlouho po zveřejnění to opravili. Za ty dva roky bylo 80 webu bez jakékoliv ochrany. Naštěstí mám vše důležité u MS, kde k tomu může jenom NSA a ne kdejaký kinderhacker, který čte ta správná fóra.

Tomu by nerozumněla ani moje babička

V XP si to můžeš snadno zalepit sám. To je jedna z výhod toho systému.Otevři regedit a do "HKLM\Software\Microsoft\Windows\CurrentVersion" si vlož "IamaJerk" s hodnotou True. A budeš mít pokoj.

Vidím to jako hřebíček do rakve Windows XP

Ma ty dobroto...
Je mi lito, ze rozbijim tve konspiracni teorie, ale nema to nic spolecneho ani s WIndows a uz vubec ne s MS.

Proboha už mlč Pavelko!

Neni. Ve Windows nijak.

No openssl používá i spousta programů ve Windows (libssl32.dll). Takže i některé programy ve windows jsou potencionálně ohrožené.

B)

Ze nahody neexistuji, to nam pan Snowden dokazal zejmena aktualnim mistem sveho pobytu.

To sice může být pravda, ale zdravě paranoidní člověk si snad uvědomil, že není na světě jen NSA.Ostatní státy mají ve šmírování mnohem delší tradici, takže si nedělám iluze, že vidíme jen špičku ledovce a Rusko, Japonsko, Čína a další státy se činí též jak můžou.

Aha, velice zajímavá informace, díky! Nejsem příznivcem konspiračních teorií, ale tady také začínám být opravdu nakloněný názoru, že jde o záměr. Jen by mne zajímalo, čí přesně (rozuměj které agentury), a zejména, kolik to stálo;-(.Doteď jsem různé hackerské soutěže v napsání kódu, který vedle něčeho, co dělat má, zvládne udělat i konkrétní věc, kterou by nikdo neočekával, považoval jen za zajímavou přehlídku schopností nejlepších programátorů, a ejhle, někomu se podaří takhle mistrovský kousek. Zanést do nejpoužívanějšího serverového kryptografického softwaru na světě chybu, která nebude zpozorována po 2 roky!

Počkat si až zranitelnost odstraní, nainstaluje nový https certifikát a pak si změnit u nich heslo.Někdo cizí ho totiž díky zranitelnosti může někde mít a později použít. Samozřejmě někdo může mít všechna data, která k tobě za ty dva roky protekla, zatímco sis myslel, že jsi díky https v bezpečí. S tím ale neuděláš nic.Nejspíš tu zranitelnost nepoužíval žádný jouda z ulice, ale spíš tajné agentury typu NSA. Jestli jsi neobchodoval s jadernými zbraněmi, nejspíš ti nic nehrozí.

Hm, trochu plutonia mi ještě zbylo... Tak uvidíme, za jak dlouho FBI zazvoní :DKaždopádně díky :)

Podle mě je to tak, že v seznamu mají world-class csirt team, kterým lidi z google můžou chodit akorát tak pro pivo.Tím pádem není divu, že si to zalepili už dřív (a neřekli to nikomu) a teď si akorát užívají tu paniku :)

tohle nikdo nikdy nezpochybnoval

on kód openssl je celkem hnus, takže se tomu ani moc nedivím...

Co závažnou chybu! Tohle je bezpečnostní průser, který na celé 2 roky zkompromitoval nadpoloviční většinu webů na světě, průser, který nejenže umožnil číst veškerou šifrovanou komunikaci, ale dokonce i se podepisovat cizím jménem, a to i na těch nejlépe zabezpečených mašinách. Nejsem profesionál z oboru kryptografie, ale za svých 25 let, co dělám s počítači, si nevzpomínám na situaci, která by s touto dnešní byla srovnatelná svou závažností jak co do toho co se stalo, tak i komu všemu se to stalo. Dokonce si říkám, že takhle závažná chyba dost nahrává konspiračním teoriím o záměrném zkompromitování někým z NSA apod. Pravdu se pochopitelně nikdy nedozvíme...

A s xp to souvisí jak, ty inteligente?

A jakou asi XPčka používají knihovnu pro SSL?

A ty si jako myslíš, ze openssl? :D Uz jsem se dlouho nepobavil, jako při čtení tohohle :D

Ale copak copak: www.zive.cz is VULNERABLE.

zive imho nejede na ssl, tady si muze hesla precist kazdy.

Mě se to přihlašuje přes https://klub.mf.cz.....

A klub.mf.cz:443 IS VULNERABLE.Takže jsou to správní novináři. Napíšou článek, ale server se záplatuje až si hackeři vysosnou klíče a hesla....

Pokud záleží na bezpečnosti tak ano. Za dva roky co tam ta chyba je je někdo mohl vyluxovat.

Rozumím tomu jako koza zahradničení, ale na abíčku (pray to this linux god) psali, že určo ...

Urcite klice pregenerovat, nechat si vystavit nove - je mozne ze velci cert authority budou vystavovat zdarma(?), ale mozna jen pokud jich budete mit desitky.
Aktualizace ssl vas zbavi one chyby, aktualizace klicu odstrani moznost, ze vam nekdo v minulosti klice z pameti vyluxoval.

Slušná autorita umožní přegenerování (s novým klíčem) zdarma. Např. Symantec, thawte, geotrust, rapidssl. Startcom to zase třeba neumí a revokaci si nechá zaplatit.

Teoreticky hlavně v případě, že ses z napadené mašiny přihlašoval někam jinam jejími klíči a ty by teď mohl někdo používat k připojení jinam. Administrační instance můžou na produkční stroje šahat a nás se to třeba takhle dotklo. Aspoň to se prezentuje jako to horší security riziko, co mohlo nastat. Ale v každém případě, pokud to nenávratně nezastaví chod infrastruktury nebo firmy, není od věci udělat to preventivně.

Názor byl 2× upraven, naposled 09. 04. 2014 22:39

Kluce na mission critical strojich regenerovat jednoznoznacce.Aktualizacia balickov SSL na openSUSE aj ubuntu trvala neprirodzene dlho, takze tipujem, ze post instal lskripty kluce regenrovali.Urcite tam by som tourobil aj tam, kde sa clovek prihlasoval cez ssh a namiesto hesla pouzil sukromny kluc na jednej a verejn na druhej strane..

Regenerovat při upgradu SSL klíče bez varování by byl hovězí nápad a doufám, že minimálně v SUSE jsou lidé dostatečně kompetentní.