The Heartbleed Bug

Martin Schlemmer

(36 hodnocení)

8. 4. 2014 13:14:48

The Heartbleed Bug (heartbleed.com)

Diskuse na Hacker News: The Heartbleed Bug

8. 4. 2014 13:14:48

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013468

Petr Soukup

(5 hodnocení)

8. 4. 2014 13:59:14

Zde je možné otestovat si zranitelnost webu: http://possible.lv/tools/hb/?domain=www.simplia.cz

8. 4. 2014 13:59:14

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013467

nahoru

(17 hodnocení)

8. 4. 2014 14:27:16

Hmmm...

Heartbleed OpenSSL extension testing tool, CVE-2014-0160

8. 4. 2014 14:27:16

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013466

Petr Soukup

(5 hodnocení)

8. 4. 2014 14:37:36

V tuhle chvíli bude zranitelná většina webů. Patch se teprve dostává do repozitářů, takže většina z těch, co to mají už opravené si openssl hned v noci kompilovala.

Mimochodem - až budete upgradovat openssl, nezapomeňte restartovat webserver a všechno co openssl používá, takže ideálně celý server.

8. 4. 2014 14:37:36

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013465

Petr Soukup

(5 hodnocení)

8. 4. 2014 14:40:18

A nebo používají staré openssl, takže se jich to netýká - to je případ třeba webtrhu - https://www.ssllabs.com/ssltest/analyze.html?d=webtrh.cz

8. 4. 2014 14:40:18

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013464

Martin Schlemmer

(36 hodnocení)

10. 4. 2014 21:39:24

The Heartbleed Hit List: The Passwords You Need to Change Right Now

Facebook, Google, Gmail, AWS, GoDaddy, Dropbox

Co české banky a freemaily?

10. 4. 2014 21:39:24

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013463

Jiří Šubr

(23 hodnocení)

10. 4. 2014 22:10:04

...

10. 4. 2014 22:10:04

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013462

Roman

(15 hodnocení)

10. 4. 2014 22:30:57

já jsem o tom přečetl už docela dost (zahraniční blogy), a vypadá to, že tato hrozba je velmi vážná. Osobně na takové taky reaguji s odstupem, ale některá hesla jsem tentokrát už pro jistotu změnil také.

10. 4. 2014 22:30:57

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013461

HexaGeek

(18 hodnocení)

10. 4. 2014 23:09:58

Napsal Souki;1076608
V tuhle chvíli bude zranitelná většina webů. Patch se teprve dostává do repozitářů, takže většina z těch, co to mají už opravené si openssl hned v noci kompilovala.
Mimochodem - až budete upgradovat openssl, nezapomeňte restartovat webserver a všechno co openssl používá, takže ideálně celý server.

Prave ze ne, OpenSSL od verze 1.0.x tolik rozsirena neni, na hodne serverech je jeste 0.9.x verze. podle netcraftu je vsak v provozu cca 500 000 serveru s TLS Heartbeat .

Problem budou hlavne zarizeni a dalsi systemy a SW o kterych se moc nemluvi jako Kerio (ty vydali update dnes), Icewarp a mnoho dalsiho. Prave tyhle sw se snazi implementovat posledni verzi OpenSSL knihoven.

Ma to bohuzel jeste jeden dopad, o kterym se moc nemluvi a to je ze vetsina certifikacnich autorit pozaduje aby si lide nechali jejich certifikaty kompletne obnovit, RAPID a Verisign chcou behem par dni obrovske mnozstvi certifikatu zneplatnit.. Je nutne provest re-key protoze doslo ke kopromitaci privatnich klicu certifikatu.

Vysledkem vseho je nasledujici postup

Update OpenSSL

Zmena Hesel

Vygenerovani novych certifikatu (tzv. re-key)

10. 4. 2014 23:09:58

https://webtrh.cz/diskuse/the-heartbleed-bug#reply1013460

Luděk Kvapil