Orgis IT
přejít na obsah přejít na navigaci

Linux E X P R E S

Symphera - PM konference

Příspěvky Závažná chyba v OpenSSL

Závažná chyba v OpenSSL
wanker 9. 04. 2014, 09:57:10
Odpovědět  Odkaz 
Takže vy o tom píšete dřív než si to spravíte? Už mám pár tisíc dumpů paměti vašeho serveru ^^. Děkuji :)
Závažná chyba v OpenSSL
Palm 9. 04. 2014, 21:34:12
Odpovědět  Odkaz 
Zřejmě precedentní příklad toho, že i otevřený software, do kterého vidí statisíce programátorů, může mít závažnou bezpečnostní chybu.
Lukáš Jelínek Re: Závažná chyba v OpenSSL
Lukáš Jelínek 9. 04. 2014, 22:30:44
Odpovědět  Odkaz 
Obecně takovou chybu nelze vyloučit nikdy, stejně jako to, že zůstane třeba i delší dobu nepovšimnuta. Ovšem vždy je větší šance takovou chybu odhalit, pokud jsou k dispozici zdrojové kódy. Pokud k dispozici nejsou, lze testovat pouze zvenčí. Pokud bude v proprietárním softwaru backdoor, šance k odhalení jsou o dost menší - nemusí být implementován přímočaře (k jeho aktivaci může být potřeba splnit více podmínek), takže může být prakticky neodhalitelný.
Závažná chyba v OpenSSL
Martin 10. 04. 2014, 01:06:26
Odpovědět  Odkaz 
Je to tedy opravdu tak zlé? Má každý změnit svá hesla k emailům atd.? nebo je to spíše nafouklé? Poraďte prosím.
Závažná chyba v OpenSSL
MIlan 10. 04. 2014, 07:17:12
Odpovědět  Odkaz 
Nooo, dokud to na serverech neopraví, jsou změny hesla dost kontraproduktivní....
Lukáš Jelínek Re: Závažná chyba v OpenSSL
Lukáš Jelínek 10. 04. 2014, 10:58:49
Odpovědět  Odkaz 
Pokud tím server není postižen (například proto, že používá starší verzi OpenSSL - týká se např. distra Debian 6 - nebo používá GnuTLS či něco jiného), není potřeba řešit nic. Jinak samozřejmě platí, že nejdřív se musí opravit servery (aktualizovat OpenSSL, přegenerovat klíče a certifikáty, staré certifikáty revokovat) a pak teprve řešit návazné věci, třeba změny hesel.

Mimochodem spousta uživatelů pořád přistupuje k poště nešifrovaně a často i s nešifrovaným heslem, takže jsou trvale v situaci, kdy je někdo může odposlechnout. Už se také objevily komentáře ve smyslu, že je celá "aféra" spíše přínosná, protože počet reálných zneužití bude nízký, ale přitom to donutí spoustu adminů konečně aktualizovat servery a aspoň dočasně se bezpečnosti více věnovat, takže se tím zamezí mnoha jiným útokům vedeným jinými způsoby.
Závažná chyba v OpenSSL
Petr Tv. 10. 04. 2014, 22:32:14
Odpovědět  Odkaz 
Jo jenže článek publikovaný na idnes a novinky.cz udělají dostatečnou paniku mezi neznalými lidmi.
A ti pak houfně mění hesla, mnohé si zapomenou zapamatovat ... a vlastně zbytečně.

Dokud neopraví server šifrování, změny hesel jsou zbytečná aktivita...