přejít na obsah přejít na navigaci

Linux E X P R E S, Heartbleed stále hrozbou – nápravná opatření jsou prováděna nedůsledně

Heartbleed stále hrozbou – nápravná opatření jsou prováděna nedůsledně

Hrozba

Podle průzkumu firmy Netcraft bylo u mnoha serverů zanedbáno důsledné a správné provedení všech kroků, které bylo potřeba provést po odhalení chyby Heartbleed.


reklama

Firma Netcraft zkoumala situaci na poli SSL/TLS certifikátů měsíc po odhalení chyby v OpenSSL, která je označována jako Heartbleed Bug. Vzhledem k tomu, že bylo kvůli chybě možné získat soukromý klíč serveru, je kromě aktualizace knihovny potřeba také vygenerovat nový pár klíče a certifikátu, starý certifikát potom revokovat. Zkoumání však ukázalo, že situace „v terénu“ není příliš dobrá.

Celý 57 % serverů postižených chybou běží stále s původními certifikáty. U pouhých 20 % z postižených serverů bylo revokován původní certifikát, takže zde stále hrozí MITM útok na komunikaci. V případě 7 % serverů byl sice vygenerován nový certifikát (z toho u 5 % byl původní certifikát revokován, u 2 % nikoli – v tomto případě to však prakticky nehraje roli), ale klíč zůstal původní a tedy se tím situace nijak nevylepšila.

Tento problém byl odhalen například i u Société de l'assurance automobile du Québec, což je vládní společnost této kanadské provincie zabývající se mj. agendou okolo řidičských průkazů a registrace vozidel. Část odpovědnosti leží i na příslušné certifikační autoritě, která i přes uvedení důvodu revokace „keyCompromise“ podepsala certifikát vydaný ke zkompromitovanému klíči.

Nahoru

(Jako ve škole)
Průměr: 1,67 | Hodnotilo: 3
 

Top články z OpenOffice.cz

Příspěvky

Heartbleed stále hrozbou – nápravná opatření jsou prováděna nedůsledně
Dan Lukes 12. 05. 2014, 09:12:44
Odpovědět  Odkaz 
Na druhou stranu, vyhrano nemaji ani ti, co klic a certifikat vymenili. Ne,ze by stary klic nebylo mozne revokovat. Ale nektere prohlizece (Firefox, Seamonkey) uz od lonskeho leta neumi pouzivat CRL - OCSP nebyva v techto starych certifikatech jeste definovane. Takze revokace kompromitovanych certifikatu je vuci temto prohlizecum efektivne neucinna ...
Lukáš Jelínek Re: Heartbleed stále hrozbou – nápravná opatření jsou prováděna nedůsledně
Lukáš Jelínek 12. 05. 2014, 09:50:47
Odpovědět  Odkaz 
Těžko říct, kolika procent certifikátů se to týká (OCSP se používá už poměrně dlouho - a jakkoli bylo odstranění podpory CRL unáhlené, byť bylo částečně kompenzováno "push mechanismem", asi se opíralo o nějaká reálná data o tom, jaké dopady bude mít). I kdyby to nějaké významné procento bylo, pořád je lepší tu revokaci udělat, protože to ochrání docela dost uživatelů.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Lukáš Jelínek

Lukáš Jelínek

Šéfredaktor LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře a podniká v oblasti informačních technologií. Ve volném čase rád fotografuje, natáčí a stříhá video a také se věnuje (v Čechách poměrně málo známému) powerkitingu.


  • Distribuce: Debian, Kubuntu
  • Grafické prostředí: KDE
  • Hodnocení autora: ***

| proč linux | blog



Public Relations

QNAP uvedl novou modelovou řadu NAS TVS-x82T

Společnost QNAP uvedla na trh novou modelovou řadu NAS TVS-x82T, kterou tvoří tři různé modely (TVS-1282T, TVS-882T a TVS-682T). Nová řada je založena na vícejádrových procesorech Intel Core aktuální generace se 14nm výrobním procesem. Díky nim mohou nové NASy nabídnout dostatek výkonu i pro aplikace náročné na CPU.

Pokračování ...


CIO Agenda 2016