Heartbleed OpenSSL TLS/SSL buggish
 

Tydligen gäller detta OpenSSL 1.0.1 till och med 1.0.1f.

https://www.cert.se/2014/04/ny-sarba...-openssl-1-0-1
http://www.kb.cert.org/vuls/id/720951
http://heartbleed.com/
http://arstechnica.com/security/2014...eavesdropping/

Finns en trevlig tjänst för att testa sin site också: http://filippo.io/Heartbleed/

Jepp, jag märkte i Debian Wheezy att reboot krävdes för att läckan skulle täppas
tillräckligt. Tjänsterna som APT själv startade om var inte tillräckliga.

Vet att ett företags sida är sårbart för detta.

Men de har vart sjukt dryga mot mig så vet inte ens om man ska tipsa om det.

Såg detta med på hacker news. Skönt att Redistats inte är sårbar.

Hur många av er har skapat nya nycklar /certifikat? Tydligen så räcker det inte att fixa buggen om någon redan har exploitat den..

Till mitt forum så bryr jag mig inte riktigt, men hade jag drivit internetbank eller annan kritisk tjänst så hade läget varit annorlunda.

Jag vet även att Snowden pratade om att NSA hade möjlighet till att läsa SSl trafik. Det kanske var detta han pratade om eller finns det fler buggar?

Tycker du skall tipsa. Du har allt att tjäna på att göra det :-)

Tyvärr så finns det garanterat fler buggar. Kanske inte så många av denna kalibern dock. Man kan ju bara gissa att NSA har massor med smarta personer som spenderar hela dagarna och går igenom kod för att leta svagheter.

Det enda man behöver göra är att uppgradera libssl till senaste, antigen via valfri pakethanterare eller kompilera. *OM* du använder mySQL eller dylik mjukvara samt konfigurerar denna att använda openssl till privata/publika nycklarna kan attackeraren ha kommit åt de 64kb av minnet innehållande nyckeln - då skall du byta. Annars... nej.

Försöker minnas vart jag läste det nu men NSA ska tydligen ha fina avtal med exploit tjänster så de har säkert lite inhouse nissar och köper data av alla som erbjuder haxxning.

För den oinsatte: Vad betyder detta? Vad innebär det rent praktiskt? Finns det några åtgärder man kan göra om man t ex kör wordpress-sidor?

Kolla med ditt webbhotell att dom har tagit nödvändiga åtgärder, och om du själv använder SSL så gör en reissue av dina cert om du vill vara helt säker.

Det betyder att med tillräckligt många attacker kan attackeraren samla på sig tillräckligt mycket data för att utläsa något vettigt ur privata minnet på servern, t.ex. lösenord, kryperingsnycklar, signaler osv.

Det var begränsat till 64kb per request/attack om jag inte läst fel någon stans, så attacken borde ju utföras under en längre tid + att attackeraren sen också måste pussla ihop allt.

Jag har säkert signat upp mig på över 500 webbtjänster genom åren varav runt 150 är använda senaste två åren. Jag har dock bara fått mail från 1 tjänst där dom uppmanar mig att logga in och byta lösen.

Ska man tolka det som att många avvaktar med att informera användare tills det eventuellt visar jag att illasinnade har varit medvetna om buggen lång tid eller vad tror ni?

Jag själv kollade min dedikerade cPanel server och den var automatiskt patchad den 8:e april så jag i changelogen. Dubbelkollade även med tjänsterna för att se om man är utsatt och klarade alla tester.

Sedan tror jag att många webbhotell automatiskt fixar detta utan att meddela kunder. Varför skapa oro om hålet automatiskt täppts.

Även om man var snabb på att patcha, fanns det ett fönster där det var möjligt att enkelt läsa ut information ur servrar, och det borde vara oro nog för dom som har känsliga/viktiga tjänster.

Tex kan man ha läst ut krypteringsnycklar, användaruppgifter, mm som man kan använda efteråt även om hålen är tilltäppta.

Fönster och fönster, det var 2 år sedan pull requesten som öppnade hålet;
https://github.com/openssl/openssl/c...2116ad75f822b1

Ja, det är ett ganska stort fönster... mer som en garagedörr. =)

Dessutom skedde själva tillkännagivandet lite hastigt och slarvigt vilket inte har gett oss någon extra tid innan hålet var allmänt känt.

Om jag hade varit medlem i något "hackerkollektiv", hade jag vetat om denna buggen mycket tidigare? Hur många här inne visste om denna möjlighet långt tidigare än 2 veckor? Med denna typ av "buggar" så kvittar det ju vilket lösenord man har, man måste med andra ord byta lösenord oftare, och minska antalet sajter och tjänster man använder. Att variera lösenord mera kanske.

Bortsett från NSA och andra säkerhetstjänster så tror jag inte många känt till buggen. Skulle någon/några använt detta på "bred skala" så skulle antagligen problemet upptäckts mycket tidigare.

Det är möjligt att få de privata nycklarna från "opatchade" serverar:

https://www.cloudflarechallenge.com/heartbleed

Så de som inte uppdaterat OpenSSL och revokat existerande certifikat och installerat nya bör göra det.

Även om man har haft olika webbhotell som använder cpanel och kanske då varit oskyddade. Och någon använt denna bugg så borde intrånget loggas? Eller man använder "buggen" tar hem data, dekrypterar och får tag i ett lösenord, och man loggar in? Så det ser inte ut som ett intrång?

Man kan läsa ut informationen utan att lämna några som helst spår efter sig. Nu när man känner till förfarandet kan man säkert bygga mekanismer för att känna igen intrångsförsöken.

En inloggning lämnar ju normalt spår efter sig, men inget som triggar några misstankar om intrång.

Först nu fick jag ett svar ifrån ett webbhotell om denna bugg. Att de fixat och rekommenderade att godkänna det nya certifikatet. Dock gällde det endast folk som använder " SSL/TLS communications" det gör jag nog endast för e-post, dock inte vid detta webbhotell. Och förmodligen när jag loggar in via cpanel.

En av mina e-postadresser hackades straxt innan detta blev känt i media. De använde den för att sända SPAM. Jag blev kontaktad av Binero som stängde av e-mailen och bytte lösen som jag sen kunde återställa själv till nytt.

De bad mig köra viruskoll på de datorer jag använt, vilket jag gjorde utan att hitta något. De bad mig också att använda "säker" uppkoppling när jag läser mailen, eller använda mig av deras HTTPS webbinloggning vilket jag också alltid gjort.

Om någon nyttjat denna bugg är svårt att säga men man kan ju misstänka i alla fall.

Blev man något klokare av detta? kanske inte, men jag delade med mig :-)

Våra servrar har aldrig haft den sårbarhet som Heartbleed använder sig av. Det kan alltså inte vara med hjälp av Heartbleed som någon hackat din e-post.

MVH
Christer