logo
08.04.2014 13:14
1
The Heartbleed Bug (heartbleed.com)

Diskuse na Hacker News: The Heartbleed Bug
08.04.2014 13:59
2
Zde je možné otestovat si zranitelnost webu: http://possible.lv/tools/hb/?domain=www.simplia.cz
08.04.2014 14:37
4
V tuhle chvíli bude zranitelná většina webů. Patch se teprve dostává do repozitářů, takže většina z těch, co to mají už opravené si openssl hned v noci kompilovala.

Mimochodem - až budete upgradovat openssl, nezapomeňte restartovat webserver a všechno co openssl používá, takže ideálně celý server.
08.04.2014 14:40
5
A nebo používají staré openssl, takže se jich to netýká - to je případ třeba webtrhu - https://www.ssllabs.com/ssltest/anal...ml?d=webtrh.cz
10.04.2014 21:39
6
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Facebook, Google, Gmail, AWS, GoDaddy, Dropbox

Co české banky a freemaily?
10.04.2014 22:10
7
...
10.04.2014 22:30
8
já jsem o tom přečetl už docela dost (zahraniční blogy), a vypadá to, že tato hrozba je velmi vážná. Osobně na takové taky reaguji s odstupem, ale některá hesla jsem tentokrát už pro jistotu změnil také.
10.04.2014 23:09
9
Původně odeslal Souki
V tuhle chvíli bude zranitelná většina webů. Patch se teprve dostává do repozitářů, takže většina z těch, co to mají už opravené si openssl hned v noci kompilovala.

Mimochodem - až budete upgradovat openssl, nezapomeňte restartovat webserver a všechno co openssl používá, takže ideálně celý server.
Prave ze ne, OpenSSL od verze 1.0.x tolik rozsirena neni, na hodne serverech je jeste 0.9.x verze. podle netcraftu je vsak v provozu cca 500 000 serveru s TLS Heartbeat .
Problem budou hlavne zarizeni a dalsi systemy a SW o kterych se moc nemluvi jako Kerio (ty vydali update dnes), Icewarp a mnoho dalsiho. Prave tyhle sw se snazi implementovat posledni verzi OpenSSL knihoven.

Ma to bohuzel jeste jeden dopad, o kterym se moc nemluvi a to je ze vetsina certifikacnich autorit pozaduje aby si lide nechali jejich certifikaty kompletne obnovit, RAPID a Verisign chcou behem par dni obrovske mnozstvi certifikatu zneplatnit.. Je nutne provest re-key protoze doslo ke kopromitaci privatnich klicu certifikatu.

Vysledkem vseho je nasledujici postup

Update OpenSSL
Zmena Hesel
Vygenerovani novych certifikatu (tzv. re-key)
12.04.2014 13:07
10
Jestli vám to udělá radost, tak NSA o tom bugu věděla a dokonce tuto zranitelnost i využívala k získávání dat...

---------- Příspěvek doplněn 13.04.2014 v 18:36 ----------

Zpráva je zpracována do novinky na https://webtrh.cz/262656-heartbleed-...penssl-verzich