SubaruFanClub.cz

Ospravedlňujem sa "nepostihnutým", ale nedá sa nevšimnúť, že časť osadenstva vládne administrátorskými právami nad nejedným strojom v internete, takže ak náhodou ešte niekto nepotrehol vlnu paniky z aktuálnej diery v SSL (t.j. skoro akékoľvek https, imaps, pop3s, "čokoľvek over SSL", ale i openvpn), tak patchovať, patchovať a ešte raz patchovať.. A pregenerovať certifikáty!

Mimochodom, len pre zaujímavosť, ani náš hosting provider ešte stále nemá opraveno.
https://www.ssllabs.com/ssltest/analyze ... ismatch=on

Info: http://heartbleed.com/

Jen bych chtěl podotknout, že pro uživatele tohoto webu to nemá žádný význam - tam se stejně posílá všechno nešifrovaně, takže zachovejte paniku :811:

EDIT: Ale samozřejmě jsem je na to upozornil, takže díky, Merline, za informaci :supeer:

Mimochodom, exploit už koluje internetom - tu nejde o žiadnu teoretickú slabinu.

Však oni už konkrétně na našem hostingu mají drtivou většinu strojů záplatovaných.

My s Rudým Peklem jsme v okeyi i bez záplatování

rpm -qa | grep ssl
openssl-1.0.1e-16.el6_5.7.x86_64

Ono to používání starejch odzkoušenejch věcí má občas i nějakou tu výhodu, no.

A o čem tu kluci mluvíte? ::-DD:
::-DD: Není tu každej IT. Ale co do toho kecám, když tomu nerozumim.

JRJ píše: rpm -qa | grep ssl
openssl-1.0.1e-16.el6_5.7.x86_64

Tak zrovna tu by som si dvakrat overil, ci je potrebny tls patch sucastou alebo nie..

heartbleed.com píše: What versions of the OpenSSL are affected?

Status of different versions:

• OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
• OpenSSL 1.0.1g is NOT vulnerable
• OpenSSL 1.0.0 branch is NOT vulnerable
• OpenSSL 0.9.8 branch is NOT vulnerable

Míro možná jsi se toho všiml i jinde v médiích, protože to proběhlo všema, že byla objevena nějaká díra v zabezpečení SSL, jestli to říkám dobře. Ovšem sám taky úplně nechápu, co to pro mě znamená, jako pro koncového uživatele... :845:

Mira píše:A o čem tu kluci mluvíte? ::-DD:
::-DD: Není tu každej IT. Ale co do toho kecám, když tomu nerozumim.

Fakt velky bezpecnostny pruser pri (napriklad) prihlasovani do prakticky lubovolneho internetoveho bankovnictva alebo do webovych emailovych serverov - velkej casti vsetkeho, coho url zacina na https. Pri urcitych, nie uplne nerealnych podmienkach, je mozne citat takuto komunikaciu, alebo ju i spatne rekonstruovat. A i to je iba cast toho, co bolo postihnute.

Jinak server pro náš hosting už je taky zalepenej, i když na koncové uživatele by to žádný přímý vliv nemělo.

Tak to zní dramaticky. Tak snad se nás to nikoho nedotklo...

Red Hat Enterprise Linux 6 is affected. Specifically openssl-1.0.1e series from openssl-1.0.1e-15 through openssl-1.0.1e-16.el6_5.4. All RHEL 6 OpenSSL users are strongly advised to upgrade to openssl-1.0.1e-16.el6_5.7. :845:

VDC píše:Tak to zní dramaticky. Tak snad se nás to nikoho nedotklo...

No ono to víceméně celkem dost dramatický je. Měly by se přegenerovat certifikáty, privátní klíče, změnit hesla... Minimálně u zásadních služeb.

VDC píše:Ovšem sám taky úplně nechápu, co to pro mě znamená, jako pro koncového uživatele... :845:

To je ta blba cast - uzivatel nema prakticky moznosti ani ako overit, ani ako sa branit. Skusim to popisat takto:

• Ak uzivatel pouziva nejaku "zabezpecenu" internetovu sluzbu - https/ftps (= zabezpecene weby), smtp over ssl/imaps/pop3s (= bezpecne e-maily), openvpn (bezpecne prihlasovanie do firmy),
• ak cielovy server na tuto sluzbu pouziva(l) "deravu" kniznicu - a to s velkou pravdepodobnostou ano,
• ak na tento server niekto pustil jeden (uz zverejneny) program, tak si moze/mohol nepozorovane :!: precitat celu pamat serveru,
• kde mimo ine veci s velkou pravdepodobnostou najde okrem ineho i privatne kluce serveru, pretoze ich tieto sluzby celu dobu pouzivaju.
• Ak ma ten niekto pristup ku komunikaciam tohoto serveru s uzivatelmi (napriklad spravuje nejaky router po ceste),
• tak pomocou tychto klucov moze rozsifrovat lubovolnu bud aktualne beziacu komunikaciu kohokolvek s tymto serverom, pripadne rozsifrovat komunikaciu v minulosti iba odchytenu alebo pri troche pripravy sfalsovat identitu serveru a upravovat komunikaciu este pocas jej behu.

To je pomerne hororova situacia, ked si clovek uvedomi, ze tou komunikaciou moze byt napriklad zadavanie platobneho prikazu banke. Ale inak i v samotnej pamati napadnuteho serveru moze najst i hromadu inych informacii, ako napriklad hesla aktualne pripojenych uzivatelov (ak ich server skladuje v cistej forme)...

Je to dost podmienok ale stale existuje nezanedbatelne mnozstvo ludi, ktory ich dokazu naplnit.

EDIT: Kniznice s uvedenou chybou su v obehu uz asi dva roky a chyba bola zverejnena pred dvoma dnami a nasledne rychlo opravovana. Kto ju ale kedy skutocne objavil, to je otazka. Musim ale povedat, ze to nedavnemu chvastaniu NSA, ze ich nejake SSL vobec nezaujima, dava uplne novy rozmer - to uz ale spekulujem.

merlin: NSA tam zavedla ten bug, a teď řekla, že už jí to nebaví, jak je to jednoduchý, tak to opravili :ironie:

Jinak já mám na zásadních místech 0.9.8y, takže snad dobrý.

Tady je docela zajímavý pokec http://unix.stackexchange.com/questions ... in-openssl