Pull to refresh

Comments 22

UFO just landed and posted this here
Ну радует только то, что не все могут MITM. Но все равно задолбали.
Так ведь после прошлого события библиотеку взялись активно проверять.
И ещё много найдут, код там ужасен.
Внезапно, это еще не так.
серьёзные уязвимости типа Heartbleed побудили разработчиков, исследователей и простых пользователей к повышенно внимательному изучению надежности этих продуктов.

Будем надеяться, что сейчас наковыряют уязвимостей по-максимуму и пофиксят, потом поспокойнее станет. Все-таки лучше знать, что уязвимость была, но исправлена, чем вообще о ней не знать.
Про дебиан дополнил в конфе поста.
Спасибо, исправил по вашим инструкциям.

Может пригодиться — lля debian смотрим версии ssl:
dpkg-query -l | egrep 'openssl|sslib|libssl'
На precise тоже прилетело обновление, LTS как-никак.
Ну этот список всё же в основном воспроизводится, что называется, в лабораторных условиях.

Хотя хотелось бы отметить пачку CVE в реализации DTLS. Ведь Heartbleed тоже имел к DTLS прямое отношение. Если у кого используется DTLS — лучше откажитесь от него, от греха подальше.
Автор как-то уж больно спокойно относится к MITM-атаке. Короткий ответ на заданный им вопрос должен быть таким: да, необходимо волноваться и исправлять ASAP.
Полностью поддерживаю. Но я не посчитал нужным нести отсебятину. Хотя впишу как примечание.
В CentOS/RHEL 6.5 исправлено.
# rpm -q --changelog openssl | head -20
* Mon Jun 02 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.14
— fix CVE-2010-5298 — possible use of memory after free
— fix CVE-2014-0195 — buffer overflow via invalid DTLS fragment
— fix CVE-2014-0198 — possible NULL pointer dereference
— fix CVE-2014-0221 — DoS from invalid DTLS handshake packet
— fix CVE-2014-0224 — SSL/TLS MITM vulnerability
— fix CVE-2014-3470 — client-side DoS when using anonymous ECDH
Не могу найти для SUSE Linux Enterprise Server 11 пакета исправления… Ткните, пожалуйста, кто нашел? Стоит версия OpenSSL 0.9.8j-fips, после обновления не пришла OpenSSL 0.9.8za…
Sign up to leave a comment.

Articles