CVE-2014-0160 OpenSSL 1.0.1*

[12309]

Уязвимость в OpenSSL с версии 1.0.1 по 1.0.1f включительно позволяет читать память клиента или сервера кусками по 64кб.
Исследователям при тестировании уязвимости удалось достать из памяти приватные ключи, имена юзеров и пароли, тексты сообщений IM, и т.п.

Уязвимы почти все свежие дистрибутивы:
Debian Wheezy (stable)
Ubuntu 12.04.4 LTS
CentOS 6.5
Fedora 18
OpenBSD 5.3, 5.4
FreeBSD 8.4, 9.1
NetBSD 5.0.2
OpenSUSE 12.2, 13.1

Версии OpenSSL ниже 1.0.1 не уязвимы.

http://www.openssl.org/news/vulnerabilities.html
http://heartbleed.com/

Апдейт уже есть в большинстве репозиториев, рекомендую обновиться.

Также желательно пересоздать openssl ключи, т.к. они могут быть уже слиты (уязвимость появилась в 2012 году).

 

[Ar3s]

Спойлер: 10000

<_< Нужно исправить.

 

[12309]

> Для просмотра этого блока Вам необходимо создать не менее 10000 сообщений

лол.
на данный момент дамага уязвима, жаббер тоже.
срочно
yum update openssl*
или
apt-get update;apt-get upgrade openssl

 

[steklo]

требует сообщений 10000 у вас 43

Печалька ... Хнык )

 

[12309]

Testing Tor with ssltest.py shows successful SSL connection and no
response to the heartbeat request, reports not vulnerable.
Testing OpenVPN - TCP connection OK, SSL connection fails, server
reports MTU discrepancy. Complaining that a 277 byte frame does not have
a length between 0 and 1559 - possibly not vulnerable.
Apache, Postfix and Courier instances were all vulnerable.

 

[Ragnar]

а какие условия реализации атаки? должен быть доступ к серверу? или можно удаленно эксплуатировать?

 

[12309]

удалённо.
после обновления openssl не забывайте перезапускать все сервисы (httpd, email, jabber, etc)

 

[xenx]

Heartbeat Mass Scanner :

http://rghost.net/53910932

No pass