The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года

10.04.2014 13:03

Стали появляться свидетельства возможного применения Heartbleed-уязвимости в OpenSSL (CVE-2014-0160) для совершения вредоносных действий за несколько месяцев до выявления проблемы сотрудниками компаний Google и Codenomicon. Следы одной из таких атак зафиксированы компанией MediaMonks в журналах аудита, датированных ноябрём прошлого года. Сохранённые в журналах пакеты с нескольких серверов, подозреваемых во вредоносной активности, совпали по своему характеру с пакетами, применяемыми при эксплуатации Heartbleed-уязвимости.

По мнению Брюса Шнайера, известного эксперта в области компьютерной безопасности, Heartbeat-уязвимость в OpenSSL следует причислить к категории катастрофических уязвимостей, уровень опасности которой составляет 11 баллов, если рассматривать существующую 10-бальную шкалу степеней опасности с учётом того, что OpenSSL является самой распространённой криптографической библиотекой в Сети.

Благодаря широкому освещению проблемы за два дня с момента её обнародования около 1/3 всех серверов уже применили обновление с устранением уязвимости. Тем не менее, по предварительным данным в Сети ещё остаются уязвимыми около 600 тысяч серверов. Но проблема далека от своего решения - непонятно, что делать со встраиваемыми и мобильными продуктами, подверженными уязвимости, но не предусматривающими возможность автоматического обновления прошивки.

Кроме того, начинается волна атак на клиентские приложения, использующие OpenSSL. Например, вслед за появлением эксплоитов для серверных систем уже доступен прототип эксплоита с реализацией фиктивного HTTPS-сервера, при обращении к которому осуществляется атака на клиента. Эксплоит успешно протестирован для извлечения данных из памяти таких приложений, как wget 1.15, curl 7.36.0, links 2.8, git 1.9.1, MariaDB 5.5.36 (клиент), nginx 1.4.7 (в режиме прокси). Например, можно извлечь параметры прошлых запросов, в том числе содержащих пароли доступа.

В условиях возможности незаметного проведения атаки, без оставления следов в логе, также предстоит длительный процесс смены SSL-сертификатов, ключей шифрования и обычных паролей, отсутствие утечки которых невозможно гарантировать. Потенциально любой пароль и сертификат мог попасть в руки злоумышленников, и непонятно, когда и где подобные утечки могут проявиться. Из крупных сайтов, которые потенциально могли подвергнуться атаке отмечаются Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, а также многие банки и финансовые сервисы.

Шнайер считает близкой к единице вероятность того, что различные спецслужбы уже успели воспользоваться уязвимостью для массового извлечения приватных ключей. Другой вопрос, случайно или нет подобная уязвимость появилась в OpenSSL. Даже если проблема была внесена случайно, за два года присутствия в кодовой базе заинтересованные лица вполне могли её обнаружить и молча использовать.

Дополнение: администраторам у которых сохранились дампы трафика за время до публикации информации об уязвимости, предлагается проанализировать наличие в них сигнатур "18 03 02 00 03 01 40 00" или "18 03 01 00 03 01 40 00" (вместо "40 00" в конце может быть меньшее число), свидетельствующих о применении эксплоита. Особое внимание рекомендуется уделить на подсеть 193.104.110.* с которой в ноябре была выявлена подобная активность, а также другие подсети с которых наблюдается активность ботов.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
  3. OpenNews: Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL
  4. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  5. Блокирование попыток эксплуатации heartbeat-уязвимости в OpenSSL средствами iptables
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/39544-openssl
Ключевые слова: openssl, heartbeat
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (205) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, rob pike (?), 13:38, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    >а также многие банки и финансовые сервисы

    А как ругали карточки одноразовых кодов ВТБ-шные, а.
    Как же, каменный век, Java, сертификаты, прогресс, СМС.

     
     
  • 2.47, Аноним (-), 19:16, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Карточки одноразовых кодов - это круто. А в почту тоже логиниться по карточке одноразовых кодов? И в жаббер? Слушай, а может проще тогда сообщения доставлять голубями? Впрочем, на этот случай есть граждане с рогатками. Хотя стоп, они уже давно проапгрейдились до пневматики с оптическим прицелом, так что перехватят ваши сообщения, как пить дать.
     
     
  • 3.78, XoRe (ok), 22:26, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Карточки одноразовых кодов - это круто. А в почту тоже логиниться по
    > карточке одноразовых кодов? И в жаббер? Слушай, а может проще тогда
    > сообщения доставлять голубями? Впрочем, на этот случай есть граждане с рогатками.
    > Хотя стоп, они уже давно проапгрейдились до пневматики с оптическим прицелом,
    > так что перехватят ваши сообщения, как пить дать.

    Не стоит передергивать.
    Если когда-нибудь лишитесь 3700 евро со счета, поймете прелесть одноразовых паролей при работе с деньгами.

     
     
  • 4.84, Аноним (-), 23:17, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если когда-нибудь лишитесь 3700 евро со счета, поймете прелесть одноразовых паролей при
    > работе с деньгами.

    Странно, ворочаю килобаксами/килоевро по счетам уже 7 лет. Как-то пока все ок (да, я очень внимательно изучаю все списки транзакций).

     
     
  • 5.91, rob pike (?), 23:59, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если клобаксами, то, полагаю, можете чувствовать себя спокойно, изготовление копии  сим-карты оценивается как раз примерно в килобакс. Когда дойдете до хотя бы десятков, чего я вам искренне желаю, а лучше - сотен, тогда советую задуматься.
     
     
  • 6.108, Аноним (-), 02:15, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  изготовление копии  сим-карты оценивается как раз примерно в килобакс.

    Весьма зависит от симкарты. Старые можно дома, на коленке. Древняя атака с вычислением Ki по куче запросов. Сейчас вроде oпcocы перешли на другой алгоритм генерации ответа, как минимум кто-то из них, там этой проблемы нет. Но честно говоря не особо мониторил что там сейчас творится.

    > Когда дойдете до хотя бы десятков, чего я вам искренне желаю,
    > а лучше - сотен, тогда советую задуматься.

    Ну, знаешь, если ты сотнями ворочаешь - тут и охрана пригодится уже, etc.

     
     
  • 7.114, rob pike (?), 02:26, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Древняя атака с вычислением Ki по куче запросов

    Какие ж вы, гики, предсказуемые. Килобакс - это верхняя граничная оценка оформления (как "потерянной") любым заинтересованным лицом новой сим-карты (с вашим номером) в салоне связи по "левым" документам с учетом материальной заинтересованности работника этого салона связи. Без всяких вычислений.

     
     
  • 8.117, Аноним (-), 02:59, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Такие же как и вы Люди вообще достаточно предсказуемы Особенно глупые А тут у... большой текст свёрнут, показать
     
  • 6.206, XoRe (ok), 23:59, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну если клобаксами, то, полагаю, можете чувствовать себя спокойно, изготовление копии  
    > сим-карты оценивается как раз примерно в килобакс.

    Да каво, дешевле можно)
    Но сейчас банки палят смену симкарты и не присылают смс на новую симку.
    После замены надо позвонить в банк/зайти в отделение.
    А там килобакса не хватит.

     
  • 5.207, XoRe (ok), 00:03, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если когда-нибудь лишитесь 3700 евро со счета, поймете прелесть одноразовых паролей при
    >> работе с деньгами.
    > Странно, ворочаю килобаксами/килоевро по счетам уже 7 лет. Как-то пока все ок
    > (да, я очень внимательно изучаю все списки транзакций).

    Тю. Атаки уровня heartbleed тоже годами не было)
    Анализа уже совершенных транзакций мало.
    Если счет на физ лицо, можно очень быстро вывести деньги на только что созданный кошелек qiwi/yandex/etc, потом на другой, потом вывести на какую-нибудь не именную карточку, и снять.

     
  • 3.92, rob pike (?), 00:05, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >А в почту тоже логиниться по карточке одноразовых кодов?

    Если такая карточка будет реализована в отдельном чипе того устройства, с которого вы это делаете, с надежной защитой по, например, сканированию сетчатки вашего глаза, всё это будет работать прозрачно для вас, не требуя каких-то особых телодвижений и в то же время поддерживаться сервером - то почему бы и нет.

     
     
  • 4.109, Аноним (-), 02:16, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > почему бы и нет.

    Сканирование? Сетчатки глаза? Чипом с проприетарной фирмварой? Не-не-не, Дэвид Блейн, засуньте ваши зонды себе. А я такой системой пользоваться вообще не буду - целиком перейду на какой-нибудь биткоин и полностью возьму ответственность за их кражу у меня на самого себя.

     
     
  • 5.115, rob pike (?), 02:36, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сканирование? Сетчатки глаза? Чипом с проприетарной фирмварой? Не-не-не, Дэвид Блейн,
    > засуньте ваши зонды себе. А я такой системой пользоваться вообще не
    > буду

    Как тонка эта грань между паранойей и шизофренией.
    Вы в чипе CCD-камеры не пробовали зонды искать? А в LM317?

    > целиком перейду на какой-нибудь биткоин и полностью возьму ответственность
    > за их кражу у меня на самого себя.

    Непонятно что здесь меняет конечная цель аутентификации (биткойн, e-mail, пароль к сейфу с почтовыми голубями), если мы говорим о способах аутентификации.

    А по большому счету ответственность и так на вас. Вы попробуйте как-нибудь на досуге оспорить транзакцию, проведенную вами через интернет-банкинг в российском банке, на практике. Узнаете много интересного.

     
     
  • 6.118, Аноним (-), 03:10, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Маленький кусочек кремния может нынче содержать много вентилей И реализовывать ... большой текст свёрнут, показать
     
     
  • 7.124, bugmenot (ok), 05:06, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы таки не поверите, но...
    https://www.opennet.ru/opennews/art.shtml?num=38583
    http://www.pvsm.ru/radiosvyaz/55388/print/
     
     
  • 8.135, Аноним (-), 10:32, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это вообще к чему Ну TCP IP Ну по побочному каналу И что ... текст свёрнут, показать
     
     
  • 9.161, bugmenot (ok), 17:43, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    К тому, что машина, не имеющая доступ к сети, но стоящая в одном помещении с маш... текст свёрнут, показать
     
     
  • 10.175, Аноним (-), 20:59, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Потенциально, вам завтра на голову может упасть метеорит Ничему не противоречит... текст свёрнут, показать
     
     
  • 11.177, iZEN (ok), 21:17, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У ноутбуков есть микрофоны И они практически всегда включены ... текст свёрнут, показать
     
     
  • 12.180, Аноним (-), 22:31, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а вот у моего десктопа микрофона нет Если ты думал что меня интересует _твоя... текст свёрнут, показать
     
     
  • 13.191, Аноним (-), 00:08, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Компьютеры в оффлайне, а сотовый наверняка с андроидом И наверняка подключали е... текст свёрнут, показать
     
     
  • 14.196, Аноним (-), 08:29, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это чаще использется для сопоставления данных по мобильным устройствам и ноутам ... текст свёрнут, показать
     
  • 2.215, iZEN (ok), 18:50, 16/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>а также многие банки и финансовые сервисы
    > А как ругали карточки одноразовых кодов ВТБ-шные, а.
    > Как же, каменный век, Java, сертификаты, прогресс, СМС.

    Алексей Шипилёв — Прагматика Java Memory Model: http://www.youtube.com/watch?v=iB2N8aqwtxc

     

     ....большая нить свёрнута, показать (22)

  • 1.2, Аноним (-), 13:46, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Столько паники из-за капли в океане. Про спецслужбы - вообще смешно. Они и без того обязаны следить за разработкой таких продуктов и проводить аудит всех патчей к ним. Думаю, они о ней знали (и эксплуатировали) уже через месяц - два после её появления.
     
     
  • 2.17, Нанобот (ok), 14:55, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >Думаю, они о ней знали (и эксплуатировали) уже через месяц - два после её появления

    зря ты недооцениваешь спецслужбы... об уязвимости они знали (и эксплуатировали) за месяц-два то её появления

     
     
  • 3.20, rob pike (?), 15:17, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    За десятки лет до появления OpenSSL спецслужбы уже написали инструментарий для эксплуатации её будущих уязвимостей. Срочно в номер.
     
     
  • 4.38, EuPhobos (ok), 17:24, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    <irony>
    Были особые люди, которые решили создать спецслужбы для того, что бы они спроектировали и написали сам OpenSSL
    </irony>
     
  • 4.50, Аноним (-), 19:30, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > За десятки лет до появления OpenSSL спецслужбы уже написали инструментарий для эксплуатации

    В каком-то роде. SSL и TLS наархитектили так, что секурно ими пользоваться почти невозможно. А навороченная либа неизбежно содержит 100500 багов.

     
     
  • 5.85, rob pike (?), 23:38, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >наархитектили так, что секурно ими пользоваться почти невозможно

    И это вы тоже склонны приписать страшным спецслужбам?

     
     
  • 6.156, Аноним (-), 14:09, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И это вы тоже склонны приписать страшным спецслужбам?

    Учитывая как NIST-у протолкали несекурный ГПСЧ, не удивлюсь если и протокол старались сделать так, чтобы секурно и без лажи его фиг с два получилось реализовать.

     
  • 5.98, Аноним (-), 00:24, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сказано словно можно создать (и уже создано) что-то более простое и секьюрное.
     
     
  • 6.102, rob pike (?), 01:33, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это вы шутите так или действительно видели человека, утверждающего что чего-то более простого и секьюрного чем OpenSSL создать невозможно, и он над вами не глумился в этом момент?
     
  • 6.110, Аноним (-), 02:18, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Сказано словно можно создать (и уже создано) что-то более простое и секьюрное.

    Такого человека звали D.J. Berstein. И он таки сделал это - либу NaCl. У нее простое логичное апи, даже дуболому негде облажаться. А еще она может шифровать даже отдельные пакеты, не в пример меньше кластрефака чем в SSL.

     
  • 3.46, Аноним (-), 19:15, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Всё может быть. Только тогда это спецслужбы какой-то одной страны... с хорошим мозговым центром.
     

  • 1.3, iZEN (ok), 14:07, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да всё протроянено на высшем уровне. Вы как вчера родились.

    Как можно доверять секретную и конфиденциальную информацию иностранной операционной системе, которая подключена к их же сети?!

     
     
  • 2.54, Аноним (-), 19:47, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ты сам у себя спрашиваешь? ;)
     
     
  • 3.130, Andrey Mitrofanov (?), 09:44, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это ты сам у себя спрашиваешь? ;)

    У голосов в голове. И они отвеча-а-ают...

     
  • 2.79, XoRe (ok), 22:32, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да всё протроянено на высшем уровне. Вы как вчера родились.
    > Как можно доверять секретную и конфиденциальную информацию иностранной операционной системе,
    > которая подключена к их же сети?!

    Как вы можете пользоваться буржуйским браузером, который запущен во вражеской ОС, работающей на ПК, собранным потенциальным противником?

     
     
  • 3.82, iZEN (ok), 22:47, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Всё просто все заинтересованные в обладании конфиденциальной информации юридиче... большой текст свёрнут, показать
     
     
  • 4.86, Аноним (-), 23:41, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > карточки любого гражданина их или не их страны, но не делают
    > этого. Вопрос: почему?

    Ну это еще вопрос. Вон нашим чиновникам после санкций гопстопнули карточки. Впрочем, там же и ответ почему: потому что это вызывает нехилый бугурт у клиентуры. Вот местные чиновники уже например всерьез взялись за национальную платежную систему. Которая оттянет на себя часть оборота бабла. А это означает что виза и мастеркард недополучат баблишка...

     
     
  • 5.153, user (??), 14:04, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Насчет гопстопа. У нас на работе несколько человек получали з/п на карточки Собин-банка. Картой раплатиться они не могли, да, но снять с нее деньги в отделении банка - без проблем, ни одной копейки не потерялось.
     
     
  • 6.155, Аноним (-), 14:06, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Картой раплатиться они не могли, да, но снять с нее деньги
    > в отделении банка - без проблем, ни одной копейки не потерялось.

    И зачем нужна карточка, которой можно пользоваться только в отделении какого-то банка? Мне тогда проще получать сразу наликом - его в любом магазине принимают, минус время на посещение банка.

     
     
  • 7.159, user (??), 16:36, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Картой раплатиться они не могли, да, но снять с нее деньги
    >> в отделении банка - без проблем, ни одной копейки не потерялось.
    > И зачем нужна карточка, которой можно пользоваться только в отделении какого-то банка?
    > Мне тогда проще получать сразу наликом - его в любом магазине
    > принимают, минус время на посещение банка.

    Получайте, разрешаю

     
     
  • 8.174, Аноним (-), 20:55, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а вы оставьте такие карточки себе, для меня они ничего кроме дополнительного ... текст свёрнут, показать
     
     
  • 9.189, user (??), 23:16, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так уж и быть, можете не брать такие карточки ... текст свёрнут, показать
     
  • 4.200, t28 (?), 12:00, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Все эти механизмы, интерфейсы и протоколы были учтены и разработаны в CCITT при ... большой текст свёрнут, показать
     

  • 1.4, Андрей (??), 14:20, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в роутерах на WRT прошивке или в серверных IMPI интерфейсах эта библиотека случайно не используется?
     
     
  • 2.9, Sabakwaka (ok), 14:44, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Совершенно случайно нет.
    Уязвимостью чревата сама идея TLS Heartbeat. На уровне замысла.
    И мы еще услышим.
     
     
  • 3.27, Аноним (-), 15:40, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Расскажите.
     
     
  • 4.31, Sabakwaka (ok), 16:20, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Суть TLS Heartbeat, как следует из драфта http tools ietf org html draft-ietf-... большой текст свёрнут, показать
     
     
  • 5.60, Аноним (-), 20:41, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя идея heartbeat довольно дурная сама по себе, сабж тут не виноват. В сабже довольно крутой баг с утеканием памяти в сеть. Это не было задумано. Это просто лютый баг в либе. Одной конкретной либе.
     
     
  • 6.125, balda (?), 06:26, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В сабже довольно крутой баг с утеканием памяти в сеть. Это не было задумано. Это просто лютый баг в либе. Одной конкретной либе.

    ...Одной конкретной либе.
    ...Одной конкретной либе.
    ...Одной конкретной либе.
    ...Одной конкретной либе.
    ...Одной конкретной либе.
    ...Одной конкретной либе.


    и там до посинения. Может станет правдой )))

     
     
  • 7.136, Аноним (-), 10:34, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > и там до посинения. Может станет правдой )))

    В других либах именно этого бага - нет. Зато может быть куча иных, не менее веселых. Навороченному протоколу - куча багов, все честно.

    Впрочем, вам с вашим ником простительно нести чушь.

     
  • 6.193, Аноним (-), 04:56, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    да не, автор коммента - прав.
    реально убогая идея для решения несуществующей проблемы.
    та-же хрень с курисами в браузерах для аутентификации, благодаря чем - мы до сих пор не имеем нормальной авторизации в веб-е.
     
  • 4.162, Тампарам (?), 17:50, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Для реализации heartbeat достаточно было бы определить пакеты для запроса и ответа. Они же там наворотили зачем-то "отправку запрошенного количества байтов". Ну и программер явно был в доле, потому что не специально отправить по запросу произвольное количество байт - очень сложно.
     
  • 2.12, pavlinux (ok), 14:49, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На OpenWRT какой-то свой шайтан-ssl-сервер писанный на LUA.
     
     
  • 3.24, rob pike (?), 15:36, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сервер-то свой, а суть всё та же.

    http://luci.subsignal.org/trac/browser/luci/trunk/libs/nixio/axTLS/ssl/openss

     
  • 3.61, Аноним (-), 20:43, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > На OpenWRT какой-то свой шайтан-ssl-сервер писанный на LUA.

    На LUA там написаны скрипты которые морду рисуют. Сервер там самопальный, uhttpd, но писан он таки на сях. А шифрование он таки из OpenSSL вроде как использует, так что если некто вывесил его в WAN или публично доступный LAN - ахтунг, ахтунг, ахтунг.

     
  • 2.29, Онаним (?), 16:01, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А в роутерах на WRT прошивке или в серверных IMPI интерфейсах эта
    > библиотека случайно не используется?

    1. ATTITUDE ADJUSTMENT (12.09, r36088):
    root@OpenWrt:~# opkg info libopenssl
    Package: libopenssl
    Version: 1.0.1e-1
    "Системы, использующие выпуски OpenSSL 1.0.1[abcdef], требуют срочного обновления."
    Да и gnutls-utils - 2.8.6-2 там есть. Одна радость, что ни то, ни другое по умолчанию не стоит.

    2. Не "IMPI", а IPMI. И скорее всего да! Хотя, кто ее - блобятину знает... Если ниже 1.0.1, то нет. Можете проверить свои сервера одэем и нам их IP рассказать )

     
     
  • 3.30, mickvav (?), 16:19, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У меня единственное место, где живет IPMI настолько древнее, что 1.0 openssl еще не написали тогда. И в инет не смотрит :)
     
  • 3.62, Аноним (-), 20:44, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да и gnutls-utils - 2.8.6-2 там есть.

    А при тем тут gnutls? В нем какие-то баги есть? В openssl баг специфичный для этой либы.

     
     
  • 4.94, rob pike (?), 00:07, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А при тем тут gnutls? В нем какие-то баги есть?

    "Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту. Ховард Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году выступал с рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил безопасности в кодовой базе GnuTLS, в частности, повсеместном использовании функций strlen и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр API GnuTLS"
    https://www.opennet.ru/opennews/art.shtml?num=39239

     
     
  • 5.111, Аноним (-), 02:22, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > "Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту.

    А, про это я уже забыл. Ну а что, нагородили меганавороченные протоколы с кучей фич - получите кучу багов в их реализациях. Вроде логично. Хорошие вещи должны быть простыми. Теперь вы понимаете почему мне нравится NaCl. Очень прикольно сделанный диффи-хеллман на эллиптических кривых с неплохой подборкой алгоритмов. И апи которым может пользоваться даже простой смертный, а не только супергуру.

     
     
  • 6.116, rob pike (?), 02:40, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось ответить на вопрос почему им никто не пользуется.
     
     
  • 7.119, Аноним (-), 03:15, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Осталось ответить на вопрос почему им никто не пользуется.

    Появился относительно недавно. И, кстати, кто сказал что им не пользуются? В последнее время NaCl/libsodium(более портабельный вариант) использует довольно много софта. Откуда я про них и узнал, собственно.

     
  • 6.163, Тампарам (?), 17:51, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> "Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту.
    > А, про это я уже забыл. Ну а что, нагородили меганавороченные протоколы
    > с кучей фич - получите кучу багов в их реализациях. Вроде
    > логично. Хорошие вещи должны быть простыми. Теперь вы понимаете почему мне
    > нравится NaCl. Очень прикольно сделанный диффи-хеллман на эллиптических кривых с неплохой
    > подборкой алгоритмов. И апи которым может пользоваться даже простой смертный, а
    > не только супергуру.

    Эллептические кривые - прямиком из лабораторий АНБ. Хрен знает что они там придумали.

     
     
  • 7.173, Аноним (-), 20:51, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У я так смотрю, вы мегамозг Только не спрашивайте как я это узнал Вы пер... большой текст свёрнут, показать
     
     
  • 8.195, Тампарам (?), 08:12, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Берштейну или какому-нибудь его помощнику АНБ просто заплатило немножко денег, ч... текст свёрнут, показать
     
     
  • 9.197, Аноним (-), 08:33, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    про скандал с обоим закладками от АНБ, проплаченными RDA за миллионы баксов - чи... текст свёрнут, показать
     
     
  • 10.202, Sabakwaka (ok), 13:26, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ВСЕ 171 системы шифрования 187 уязвимы ПРИНЦИПИАЛЬНО На уровне ДИЗАЙНА, на ... текст свёрнут, показать
     
     
  • 11.204, rob pike (?), 22:26, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вот видите, совсем не все системы шифрования 187 уязвимы ПРИНЦИПИАЛЬНО Пяти-... текст свёрнут, показать
     
  • 7.201, Sabakwaka (ok), 13:17, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эллиптические кривые - прямиком из оснований математики, вообще-то.
     
  • 2.154, Аноним (-), 14:05, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А в роутерах на WRT прошивке

    Там по дефолту ничего SSLного в сеть не торчит вроде. Но если торчит - да, заапдейтить надо.

     

     ....большая нить свёрнута, показать (26)

  • 1.5, MPEG LA (ok), 14:25, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    gmail, fb и vk попали под раздачу?
     
     
  • 2.63, Аноним (-), 20:47, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > gmail, fb и vk попали под раздачу?

    Вполне вероятно. Более того - баг вывешивает память процесса в сеть, так что даже приблизительно оценить масштабы пи...ца будет довольно сложно.

     
     
  • 3.131, Andrey Mitrofanov (?), 09:47, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > что даже приблизительно оценить масштабы пи...ца будет довольно сложно.

    Шнайер облегчает наши сомнения: 11 из 10 баллов.

     

  • 1.6, Sw00p aka Jerom (?), 14:36, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    баг специально внесли из-за коммерческой выгоды, все попёрли менять ssl сертификаты - круто
     
     
  • 2.10, Sabakwaka (ok), 14:44, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > баг специально внесли из-за коммерческой выгоды, все попёрли менять ssl сертификаты -
    > круто

    Да ну?

     
  • 2.11, Нанобот (ok), 14:46, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –10 +/
    >все попёрли менять ssl сертификаты

    попёрли менять сертификаты только истерички, паникёры и лохи, которые начитались страшилок в интернетах и теперь жутко бояцца. на таких по жизни наживаются предприимчивые дельцы, баг в openssl - лишь очередной способ из подоить, не первый и не последний

     
     
  • 3.22, pavlinux (ok), 15:25, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для "истеричек, паникёров и лохов..." ниже показал скриншот,
    с реально рабочего сервера, с довольно полезной инфой для конкурентов.
     
  • 3.65, Аноним (-), 20:48, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > попёрли менять сертификаты только истерички, паникёры и лохи, которые

    ...которые не хотят сливать свои пароли и приватные ключи всему миру. Только вот они то как раз не лохи. Лохи - те кто этого не сделал. По поводу чего в будущем их будет ждать мнооооого интересных поимений.

    > предприимчивые дельцы, баг в openssl - лишь очередной способ из подоить,
    > не первый и не последний

    То что PKI лохоразвод - вы, конечно, правы, но в данном случае пи...ц таки имеет место быть.

     
  • 2.16, serverX (??), 14:54, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    я бесплатно перевыпустил свои сертификаты. причем сроки сертификатов остались старыми.
     
     
  • 3.194, Тампарам (?), 08:10, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Старые-то заэкспайрить не забыли? :)
     

  • 1.7, pavlinux (ok), 14:36, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Redmine тоже дырявый. http://i59.fastpic.ru/big/2014/0410/2e/9fd0122735fb7d475abc718466343d2e.png
     
     
  • 2.18, Xaionaro (ok), 14:57, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как данный скриншот указывает на дырявость Redmine?
     
     
  • 3.19, pavlinux (ok), 15:01, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как данный скриншот указывает на дырявость Redmine?

    Cookie: _redmine_session и далее по тексту ...assword=v_pupkin&login=Login+vasya

    Для тех кто не в курсе: Redmine может работать как в режиме CGI, или как самостоятельный сервер.

     
     
  • 4.80, XoRe (ok), 22:35, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/

    > Для тех кто не в курсе: Redmine может работать как в режиме
    > CGI, или как самостоятельный сервер.

    Но это не значит, что его надо так запускать.
    Вообще, веб сервер на Ruby - не самый лучший фронтенд :)
    Лучше спрячьте за nginx, мой вам совет.
    nginx обновить может быть куда проще.

     
  • 4.128, Xaionaro (ok), 08:25, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Как данный скриншот указывает на дырявость Redmine?
    > Cookie: _redmine_session и далее по тексту ...assword=v_pupkin&login=Login+vasya
    > Для тех кто не в курсе: Redmine может работать как в режиме
    > CGI, или как самостоятельный сервер.

    А причём тут "дырявость" redmine-е, если данные получены через уязвимость libssl? (или может вообще обычным tcpdump - не знаю как были получены данные не screenshot-е).

     
     
  • 5.138, Аноним (-), 10:37, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А причём тут "дырявость" redmine-е,

    При том что пароль в открытом виде фигачат, полагаясь на "защиту соединения", которая не очень то и защищает.

     
     
  • 6.178, Xaionaro (ok), 22:01, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А причём тут "дырявость" redmine-е,
    > При том что пароль в открытом виде фигачат, полагаясь на "защиту соединения",
    > которая не очень то и защищает.

    А другие Web ITS как работают?

     
     
  • 7.181, Аноним (-), 22:34, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А другие Web ITS как работают?

    Так же как и все остальное от веб хомячья, разумеется. Т.к. дыра на дыре и дырой погоняет.

     
     
  • 8.192, Xaionaro (ok), 00:19, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, получается, что 95 сайтов с поддержкой аутентификации включая www opennet... текст свёрнут, показать
     
  • 2.23, anonymus (?), 15:31, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А потом все удивлялись, откуда такой ажиотаж вокруг сноудена, все же знали, что следят. Видимо, без капитана сноудена наивные обыватели не способны представить во что выливаются те или иные технические проколы. А как только посмотрят презентацию с надписью "собрано 2 миллиарда ключей" - так сразу начнут вопить как резанные.
     
     
  • 3.41, Аноним (-), 17:58, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мало того, некоторым и выступлений Сноудена недостаточно
     
  • 2.66, Аноним (-), 20:50, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Redmine тоже дырявый.

    Ну что ты как маленький, скрипткидизы думали что мегалиба сделает им зашибись. Поэтому слали пароль открытым текстом, как есть. А теперь пора выкусить результаты.

     

  • 1.21, Аноним (-), 15:20, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > но не предусматривающими возможность автоматического обновления прошивки.

    А Столман давно говорит, что надо делать.

     
     
  • 2.120, Аноним (-), 03:15, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А Столман давно говорит, что надо делать.

    Ну дык. Использовать девайсы где исходники прошивки есть.

     

  • 1.26, Ansomgsom (?), 15:40, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Писали открытый ССЛь, скопипастили проприетарный код не глядя :)
     
  • 1.32, Аноним (-), 16:32, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    причем наверняка АНБ :)
     
     
  • 2.39, anonymous (??), 17:43, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > причем наверняка АНБ :)

    Как будто список спецслужб мира состоит из одного АНБ. Все они одним миром мазаны.

     
     
  • 3.42, Аноним (-), 18:00, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Как будто список спецслужб мира состоит из одного АНБ. Все они одним
    > миром мазаны.

    может и не АНБ, но американская точно

     
     
  • 4.48, Аноним (-), 19:20, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Как будто список спецслужб мира состоит из одного АНБ. Все они одним
    >> миром мазаны.
    > может и не АНБ, но американская точно

    Вы про русские спецслужбы вообще слышали? Нет? А ведь они есть. А ведь это наши занимают первые места на всяких хакерски-программерских олимпиадах. Есть над чем задуматься, правда? ;)

     
     
  • 5.74, Аноним (-), 21:54, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > над чем задуматься, правда? ;)

    Да, наши занимают первые места в олимпиадах. А потом они работают в их интелах, фэйсбуках, гуглах и прочих. Потому что там нормально платят и с управлением компаниями порядок.

     
  • 2.198, Аноним (-), 09:09, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ха, я был прав http://lenta.ru/news/2014/04/12/heartbleed/
     

  • 1.33, Аноним (-), 16:37, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ловим гадов через iptables




    iptables -I INPUT -p tcp -m string --algo kmp --hex-string '|18 03 02 00 03 01 40 00|' -j LOG --log-level debug --log-prefix "ScriptKiddy detected: "



     
     
  • 2.67, Аноним (-), 20:51, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "ScriptKiddy detected: "

    Действительно, detected: залоггил и забил. Ну а дропать пакет кто будет, Пушкин? :)


     
     
  • 3.69, Аноним (-), 21:15, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ...и вместо 40 00 может быть нечто другое...
     
     
  • 4.73, Аноним (-), 21:53, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ...и вместо 40 00 может быть нечто другое...

    Я знаю. Зато запись в логе понтовую - нарисовал. Вот как-то так скрипткидисы и детектируются :).

     
  • 4.75, Аноним (-), 21:56, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ...и вместо 40 00 может быть нечто другое...

    И детектировать как string... ну в общем, намного более нормальный рецепт написан в советах: https://www.opennet.ru/tips/2830_openssl_block_iptables_heartbeat.shtml

    Тут вам и логгинг, и удавка пакета, и, блин, ищется u32 а не string, что по идее заметно быстрее.

     
     
  • 5.150, pavlinux (ok), 12:30, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> ...и вместо 40 00 может быть нечто другое...
    > И детектировать как string... ну в общем, намного более нормальный рецепт написан
    > в советах: https://www.opennet.ru/tips/2830_openssl_block_iptables_heartbeat.shtml
    > Тут вам и логгинг, и удавка пакета, и, блин, ищется u32 а
    > не string, что по идее заметно быстрее.

    То чудное правило, банит всех подряд кто пытается установить соединение с heatbeat опцией.

    Например 128.140.169.183 - mail.ru, забанило.

    DKIM: d=mail.ru s=mail2 c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
    P=esmtps X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32

     

  • 1.34, Аноним (-), 16:37, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Появились сведения (http://techrights.org/2014/04/08/howard-schmidt-codenomicon/), что публикация данных о Heartbeat-уязвимости является манёвром Microsoft, отвлекающим от проблем, вызванных прекращением поддержки Windows XP, и направленным  на будущую дискредитацию СПО в глазах потребителей.

    Уязвимость раскрыта в день прекращения поддержки Windows XP и активно продвигается с использованием ранее не применяемых в СПО PR-методов (например, был создан отдельный сайт heartbleed.com). Председателем совета директоров открывшей уязвимость компании Codenomicon является Howard Schmidt, бывший глава службы безопасности Microsoft.

     
     
  • 2.35, pavlinux (ok), 16:40, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну чо, спасибо посанам из маздайсофта, спалили бэкдор!!! Дайте иcчо! :)
    А под Debian 6 и SLES нету? А то какбэ они не дырявые.  

    > Уязвимость раскрыта в день прекращения поддержки Windows XP и активно продвигается

    Google, Dropbox, Facebook уже бегут ставить на свои сервера Вантуз 8, ога.

     
  • 2.43, Аноним (-), 18:02, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    всё может быть
     
  • 2.55, Аноним (-), 19:54, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И шо они скажут? В Windows Next самое неуязвимое шифрование? :) Кто им поверит? Не, ну конечно, те кто и раньше безропотно заглатывали их "продукты" и дальше глотать будут. Таких и убеждать не надо.
     
  • 2.76, некто (ok), 22:03, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    типа не переходите c XP на сторонние *nix-системы, там все плохо, вот например дыра в openssl. Но ведь стэк openssl используется и на винде и во многом входит/заимствован в составе инфраструктуры винды в части криптографии. Ибо как IE реализует https?
     
     
  • 3.81, Волкот (?), 22:36, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.securitylab.ru/vulnerability/449697.php
    дыра во всех виндах с 2001 года. им и без openssl хорошо.
     
  • 3.126, Адекват (ok), 08:15, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > криптографии. Ибо как IE реализует https?

    Оффтоп - а почему IE не может пройти авторизацию, если пароль передается в виде хеша md5 ?
    Просто тупо правильный пароль не подходит - во всех остальных браузерах все ок.


     
     
  • 4.139, Аноним (-), 10:40, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Возьми снифер да посмотри что там передается по факту. Может он digest авторизацию считать не умеет? Или что ты там используешь...
     
  • 2.89, ALex_hha (ok), 23:48, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Появились сведения (http://techrights.org/2014/04/08/howard-schmidt-codenomicon/),
    > что публикация данных о Heartbeat-уязвимости является манёвром Microsoft, отвлекающим
    > от проблем, вызванных прекращением поддержки Windows XP, и направленным  на
    > будущую дискредитацию СПО в глазах потребителей.

    а какое отношение имеет openssl к линуксу как таковому?

     
     
  • 3.121, Аноним (-), 03:17, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а какое отношение имеет openssl к линуксу как таковому?

    А никакого. Чуть погодя юзеры виндов узнают сколько софта юзало статически влинкованную либу и по этому поводу бессовестно продалбывало их данные злонамеренным серверам.

     
     
  • 4.132, Andrey Mitrofanov (?), 09:51, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > либу и по этому поводу бессовестно продалбывало их данные злонамеренным серверам.

    Ну, за здоровье IIS! Не чокаясь.

     
     
  • 5.140, Аноним (-), 10:40, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, за здоровье IIS! Не чокаясь.

    Ага, здоровый зомбяк. Все время из могилы вылезает, зараза.

     
     
  • 6.142, Andrey Mitrofanov (?), 10:49, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Все время из могилы вылезает, зараза.

    Спонсер-вурдалак-некромансер бдит и собирает opennet.ru/openforum/vsluhforumID3/81138.html#34 opennet.ru/openforum/vsluhforumID3/74800.html#285 жатву. [тёмный жнец]

     
     
  • 7.160, Аноним (-), 17:31, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Спонсер-вурдалак-некромансер бздит

    //fixed.

    > и собирает

    И апачует.

    > opennet.ru/openforum/vsluhforumID3/74800.html#285 жатву.

    Что-то нет там ничего, видимо потерли.

     

  • 1.36, некто (ok), 16:47, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У них там в загашниках типа еще есть гостинцы?
     
  • 1.37, axe (??), 16:56, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вангую появление новой библиотеки
     
     
  • 2.40, anonymous (??), 17:44, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > вангую появление новой библиотеки

    Попроси вангователь у анонима сверху. NaCl уже есть.

     
     
  • 3.44, pavlinux (ok), 18:21, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ... NaCl уже есть.

    а PoCl и NeСl будут?

     
     
  • 4.49, Аноним (-), 19:23, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> ... NaCl уже есть.
    > а PoCl и NeСl будут?

    Не, не так. KCl и Na(OH)2

     
     
  • 5.52, Michael Shigorin (ok), 19:37, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Не, не так. KCl и Na(OH)2

    Выделил оценку по неорганике, если что.

     
     
  • 6.93, Аноним (-), 00:06, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Извиняюсь, перепутал валентность металлов.
    Если так напишу:
    Na(OH)2-
    Ион сойдёт за оправдание? :)
     
     
  • 7.112, Аноним (-), 02:24, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ион сойдёт за оправдание? :)

    А что за ион такой странный? NaOH диссоциирует на Na+ и OH-. А это что за хрень?

     
     
  • 8.129, Аноним (-), 08:53, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Теоретически возможный в какой-либо момент времени Разумеется, сразу распадётся... текст свёрнут, показать
     
     
  • 9.133, Andrey Mitrofanov (?), 09:53, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    полимеры Na NN OH MM тоже по броску кости могут образовываться ... текст свёрнут, показать
     
  • 4.58, Аноним (-), 20:38, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если и будут, то будет PoCl на всех 3х, ибо NeCl
     
     
  • 5.113, Аноним (-), 02:25, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ибо NeCl

    Да, удачи вам заставить неон провзаимодействовать с хлором...

     
     
  • 6.127, Адекват (ok), 08:16, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> ибо NeCl
    > Да, удачи вам заставить неон провзаимодействовать с хлором...

    При помощи кувалды и такой-то матери...

     
     
  • 7.141, Аноним (-), 10:45, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > При помощи кувалды и такой-то матери...

    Сдается мне, тут даже термоядерная кувалда может спасовать.

     
     
  • 8.149, pavlinux (ok), 12:24, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вдуваешь в баллон 50 неона, 50 хлора, взбалтываешь Опа ... текст свёрнут, показать
     
     
  • 9.151, Michael Shigorin (ok), 12:49, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Расслаивается и продолжает болтаться себе Неон вообще-то инертен ... текст свёрнут, показать
     
     
  • 10.152, pavlinux (ok), 13:17, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Надо было добавить, Взболтать перед употреблением Ну это его проблемы, взболта... текст свёрнут, показать
     
     
  • 11.182, Аноним (-), 22:37, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот в сабже не добавили, видишь чего получилось ... текст свёрнут, показать
     
  • 2.45, некто (ok), 18:28, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > вангую появление новой библиотеки

    давно пора разнообразие, хотя на примере ffmpeg/libav особенного прогресса не наблюдается...

     
     
  • 3.87, rob pike (?), 23:42, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да и ядро ОС неплохо бы, основанное не на идеях 50-летней давности.
    А множатся что-то лишь нескучные хипстерские обои. Странно, да?
     
     
  • 4.99, Аноним (-), 00:25, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да и ядро ОС неплохо бы, основанное не на идеях 50-летней давности.

    А зачем чинить то что не сломано? А электродвигатели и трансформаторы работают уже пару столетий, с довольно небольшими усовершенствованиями.

     
     
  • 5.101, rob pike (?), 01:31, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да и ядро ОС неплохо бы, основанное не на идеях 50-летней давности.
    > А зачем чинить то что не сломано?

    Точно не сломано? Что ж тогда всё чинят и чинят, и всё костылями да костылями, один другого неприглядней.

    > А электродвигатели и трансформаторы работают уже пару столетий, с довольно небольшими усовершенствованиями.

    То-то у всех ваших гаджетов блоки питания линейные, с большими трансформаторами. Хотя постойте..


     
     
  • 6.104, Аноним (-), 01:59, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А это потому что симпатичные дизайны хорошо смотрятся как демонстрационная модел... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (21)

  • 1.51, Аноним (-), 19:34, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я всегда знал, что даже на Tor полностью надеяться нельзя.
     
     
  • 2.103, anonymous (??), 01:49, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В области распространения германских языков Тору посвящён день недели — четверг (англ. thursday, нем. Donnerstag). по четвергам можно пользоваться
     
  • 2.143, Аноним (-), 11:07, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Я всегда знал, что даже на Tor полностью надеяться нельзя.

    В конструкции сети Tor есть минимум 2 серьезных упущения, вообще никак не связанных с SSL.

     
  • 2.210, Аноним (-), 08:07, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    учитывая кем и для чего был разработан Тор, ваша ремарка - может лишь улыбку, вызвать )
     

  • 1.53, Аноним (-), 19:42, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Другой вопрос, случайно или нет подобная уязвимость появилась в OpenSSL.

    Это вопрос не "другой", это вопрос самый главный.

     
  • 1.56, lucentcode (ok), 20:23, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да, такого фейла ещё не было наверное в истории IT. А некоторые люди ещё и отказываются обновлять OpenSSL на своих серверах. Это было бы смешно, если не было бы так печально...
     
     
  • 2.64, Oinari (ok), 20:47, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Debian oldstable спасает.
     
     
  • 3.72, Аноним (-), 21:51, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Debian oldstable спасает.

    Совсем не включать компьютер - надежнее.

     
  • 2.172, Аноним (-), 20:26, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > люди ещё и отказываются обновлять OpenSSL на своих серверах.

    Не пользуйтесь такими серверами. Проипут они ваши данные и логины с паролями.

     

  • 1.57, iZEN (ok), 20:24, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    C/C++ всё погубил.
     
     
  • 2.59, Аноним (-), 20:40, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > C/C++ всё погубил.

    Но жабка мало чего годного из либ родила

     
  • 2.68, Аноним (-), 20:55, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > C/C++ всё погубил.

    Остальные облажались бы еще раньше, ибо GC и тому подобные - криптографии не друг и не товарищ: ключи из памяти требуется изничтожать предсказуемо, как только они перестали требоваться, затерев явным образом. А не "когда GC раздуплится" и "хрен его знает насколько он там почистит". На твоей жабе способов прострела себе пятки в криптографии в 100500 раз больше. И уж там дыр сроду было всех сортов и размеров. Их по 30 штук критикалов в каждом релизе давят. Просто все уже привыкли к тому что там постоянный п....ц и уже не обращают на него внимания.  

     
     
  • 3.70, iZEN (ok), 21:25, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> C/C++ всё погубил.
    > Остальные облажались бы еще раньше, ибо GC и тому подобные - криптографии
    > не друг и не товарищ: ключи из памяти требуется изничтожать предсказуемо,
    > как только они перестали требоваться, затерев явным образом. А не "когда
    > GC раздуплится" и "хрен его знает насколько он там почистит". На
    > твоей жабе способов прострела себе пятки в криптографии в 100500 раз
    > больше. И уж там дыр сроду было всех сортов и размеров.
    > Их по 30 штук критикалов в каждом релизе давят. Просто все
    > уже привыкли к тому что там постоянный п....ц и уже не
    > обращают на него внимания.

    Java написана на C/C++, поэтому в ней полно дыр. Очевидно и логично.


     
     
  • 4.71, Аноним (-), 21:49, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Java написана на C/C++, поэтому в ней полно дыр. Очевидно и логично.

    Логика жабиста: во всем виноваты ... нет, не программисты. Си и плюсы во всем виноваты, о как. Вот это я понимаю, ламерство. Впрочем, в openssl есть ламерство и на уровне чистейшей алгоритмики, вообще без привязки к сям и плюсам. Ну вот например, почему криптографическая либа, поюзав память, вообще не чистит ее после юзежа? Ах, авторы раздолбаи и не парятся? Ах, еще и malloc перехватили, чтобы система на могла поумничать. Замечательно. Правда такое по смыслу долбоклюйство можно повторить на любом ЯП, а экспонаты с GC еще и помогут наступить на грабли дюжиной неочевидных способов, прихранив ключи в памяти еще на полчасика, хотя об этом никто не просил. Ведь GC лучше знает когда ключ протух, правда?

     
     
  • 5.77, iZEN (ok), 22:06, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Потому что ЯП C C допускают использование памяти небезопасным способом даже из... большой текст свёрнут, показать
     
     
  • 6.90, Anonym2 (?), 23:52, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Впрочем,
    >> в openssl есть ламерство и на уровне чистейшей алгоритмики, вообще без
    >> привязки к сям и плюсам. Ну вот например, почему криптографическая либа,
    >> поюзав память, вообще не чистит ее после юзежа?
    > Наверно потому, что в C/C++ нет возможности определить, понадобится эта память ещё
    > раз или нет - лучше перестраховаться, чем нарываться периодически на NullPointerException
    > (или что там у вас обозначает NPE: Error, "сливай воду -
    > программа выполнила недопустимую операцию и будет свалена в кору", "память не
    > может быть Read"?).

    Не де Билл ли? :-)

     
  • 6.95, Аноним (-), 00:15, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У криптографов свои, очень кастомные понятия отом что такое безопасность , чува... большой текст свёрнут, показать
     
     
  • 7.148, vn971 (ok), 12:07, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ругаетесь вы клёво, но всё-таки выход за рамки массива -- это таки то что хочется чтобы запрещал язык.
    Я понимаю что всегда можно обвинить в тупизне разраба -- и так оно и есть. Но умных разрабов не бывает (имхо). Так что до тех пор пока мы не идеальны, а проги наши не верифаятся "математически" компьютером -- надо ожидать от себя ошибок. В частности, не говорить что без плохого менеджмента и руководства мы написали бы хороший софт. И признавать недостатки языка вместо оправдывания оного.
     
     
  • 8.165, Аноним (-), 18:46, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    По конкретно этому пункту - я даже согласен до некоторой степени И сдается мне ... большой текст свёрнут, показать
     
     
  • 9.170, vn971 (ok), 20:21, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это хорошая и приятная теорема, да Но она на самом деле немного о другом Теоре... текст свёрнут, показать
     
     
  • 10.183, Аноним (-), 22:56, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Во первых, если посмотреть на реальный мир, то у нас дофига программ Во вторых,... большой текст свёрнут, показать
     
     
  • 11.185, vn971 (ok), 23:03, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ээээ, я просто объяснял что значит компьютерно-верифицированная программа И, к... текст свёрнут, показать
     
  • 5.83, Anonym2 (?), 22:53, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну вот например, почему криптографическая либа,
    > поюзав память, вообще не чистит ее после юзежа? Ах, авторы раздолбаи
    > и не парятся? Ах, еще и malloc перехватили, чтобы система на
    > могла поумничать.

    А зачем её чистить? Вся программа должна быть достаточно надёжной, в составе которой работает эта библиотека. И которой программе как-то все секретные пароли даются и она ими управляет... :-)

     
     
  • 6.96, Аноним (-), 00:21, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы врагам не досталось Ну там другим процессам, другим юзерам, etc Не айс б... большой текст свёрнут, показать
     
     
  • 7.100, rob pike (?), 01:23, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >допинать сложный навороченный рантайм до кондиции когда его фичи не будут вызывать внезапный прострел пяток в самых непредсказуемых ситуациях - сложно, да

    Но заказчики хотят Java, так что будут допинывать.
    Вот у low-latency лагеря те же проблемы - http://mechanical-sympathy.blogspot.ru/2012/03/fun-with-my-channels-nirvana-a

     
     
  • 8.105, rob pike (?), 02:04, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А в real-time мире так и к С больше вопросов чем ответов http www embedded ... текст свёрнут, показать
     
     
  • 9.107, Аноним (-), 02:10, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Меньше чем к яве А так то да - чем проще некая конструкция, тем она предсказуем... текст свёрнут, показать
     
  • 8.106, Аноним (-), 02:04, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, если заказчик просит веревку и мыло - надо ему их выдать А если он в них по... текст свёрнут, показать
     
  • 7.122, Anonym2 (?), 04:07, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> А зачем её чистить?
    > Чтобы врагам не досталось! Ну там другим процессам, другим юзерам, etc. Не
    > айс будет если какой-то хмырь выделит себе блок памяти, а там
    > бац - привкей от банка с миллионом лежит! Потому что его
    > никто оттуда не снес, вы прикиньте?
    >> Вся программа должна быть достаточно надёжной,
    > И в рамках криптографии надежность кроме всего прочего подразумевает защиту ключей от
    > утечки. Блокирование памяти от доступа другими процессами. Запрет выгрузки в своп.
    > Затирание нулями как только ключ более не требуется, etc.

    Нельзя сказать, что UNIX не подразумевает...

    Многие не верят, что кое у кого все программы на отдельных машинах. (при чём виртуальных) :-)
    Но вообще OPENSSL_cleanse есть. И иногда используется... Затирает даже не нулями.

     
     
  • 8.166, Аноним (-), 19:08, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сами по себе многозадачки общего назначения не страдают в общем случае такой пар... большой текст свёрнут, показать
     
     
  • 9.167, Anonym2 (?), 20:00, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    сказал Микрософт вслед за кое кем вероятно и выпустил DOS NIX ... текст свёрнут, показать
     
     
  • 10.169, Аноним (-), 20:15, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нечто такое называлось DJGPP и было GCC для DOS и даже какие-то либы Правда я н... текст свёрнут, показать
     
  • 7.123, Anonym2 (?), 04:36, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не
    > айс будет если какой-то хмырь выделит себе блок памяти, а там
    > бац - привкей от банка с миллионом лежит! Потому что его
    > никто оттуда не снес, вы прикиньте?

    Много уже было украдено до нас...

     
  • 4.88, rob pike (?), 23:46, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаю сразу кремний.. да что там, просто физику во всём обвинять. Какие к нам вопросы, это всё Бор с Эйнштейном, да.

     
     
  • 5.97, Аноним (-), 00:22, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Предлагаю сразу кремний.. да что там, просто физику во всём обвинять. Какие
    > к нам вопросы, это всё Бор с Эйнштейном, да.

    Ну а что, это процессор во вем виноват! Он программу написанную лабухом выполняет! Вот детектировл бы он IQ автора программы и отказывался бы запускать код от изенов - сразу стало бы безопаснее в два раза.

     
  • 3.146, vn971 (ok), 11:54, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ключи из памяти требуется изничтожать предсказуемо, как только они перестали требоваться, затерев явным образом

    конкретно в этом вы не правы, кажется. Никто не мешает уничтожать. Хочешь - уничтожай.
    array[i] = 0
    (или какой там синтаксис у джавы, забыл уже.)

     
     
  • 4.147, vn971 (ok), 11:59, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    * я конкретно про приход gc.
     
  • 4.168, Аноним (-), 20:09, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Жабисты все время уповают что за них рантайм подумает и GC освободит А с GC и п... большой текст свёрнут, показать
     
     
  • 5.171, vn971 (ok), 20:25, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, тут с вами полностью согласен. Человек просто говорил именно о GC и сборке мусора (имея в виду, видимо, иммутабельные String-и). А между тем проблем куча, но таки они не в том как GC стринги чистит.
     
     
  • 6.186, Аноним (-), 23:09, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > и сборке мусора (имея в виду, видимо, иммутабельные String-и).

    Я в целом имел в виду мою возможность анализировать поведение получившейся конструкции и понимать что в какой момент времени она делает и является ли фактический результат работы тем чем было задумано в изначальной логики оной, что в криптографии важно. Чем сложнее конструкция, тем сложнее ее анализировать. Поэтому в жабе неизбежно будут кучи багов. И в реализациях SSL. Они просто навороченные до ж...ы. Так что кучи багов там обеспечены, независимо от ЯП. Некоторые баги будут проблемами безопасности. Так что в этом плане мне очень нравится тезис Берштейна: меньше кода - меньше багов. Проблема лишь в том что софт который ничего не умеет - никому и даром не сдался... :)

     
     
  • 7.190, iZEN (ok), 23:43, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Анализу помогают модульные и другие виды тестов В C C это на зачаточном уровн... большой текст свёрнут, показать
     
     
  • 8.205, Michael Shigorin (ok), 23:52, 12/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Когда у человека обе запятые в предложении на предположительно родном языке явля... текст свёрнут, показать
     
     
  • 9.208, iZEN (ok), 00:27, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    См придаточные определительные Союзное слово которая , которым прикрепляется ... текст свёрнут, показать
     
     
  • 10.209, Michael Shigorin (ok), 01:03, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Изя, если человек допускает детские ошибки -- он неграмотен Если в них упорств... текст свёрнут, показать
     
     
  • 11.212, iZEN (ok), 20:18, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Давай я тебя Мичманом буду называть, хорошо Если человек хочет, но по каким-то ... текст свёрнут, показать
     
     
  • 12.213, Michael Shigorin (ok), 21:34, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если другого человека не пнул аргументированно только ленивый из как минимум т... текст свёрнут, показать
     
     
  • 13.214, iZEN (ok), 21:44, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален От себя лишь могу выразить сожаление о случившемся Ты м... текст свёрнут, показать
     
  • 5.176, iZEN (ok), 21:14, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    > что-то еще делает, потенциально имея дело с нашими данными. Насколько он
    > там внутри себя параноидально относится к утечкам этих данных - очень
    > отдельный такой вопрос. И я не думаю что типовой жабист вообще
    > имеет хоть какое-то понятие как его жаба с массивами работает. Это
    > делает схему в целом куда менее предсказуемой и стало быть чреватой
    > самыми неожиданными прострелами пяток в самых разнообразных местах. Просто потому что
    > например array[i]=0 не трансформировалось в физическую запись в память по нужному
    > адресу и значение ключа там по факту допустим убито не было.
    > Мало ли чего там мегаумный рантайм оптимизнуть решит, etc. Для этого
    > надо очень хорошо знать как он работает и мониторить его развитие.

    Ты нам поведал историю о том, что должен делать рядовой программист на C/C++, разрабатывая свою либу. Однако ж, это же самое относится и к программистам JVM, которые должны следовать соглашениям по модели памяти Java. Хорошо, что это не входит в круг решаемых задач прикладных программистов на языках JVM, а то бы они как разработчики OpenSSL/GnuTLS всё время находились между двух огней — небезопасным инструментом разработки и лёгкостью его применения не по назначению. ;)

     
     
  • 6.179, vn971 (ok), 22:10, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > это же самое относится и к программистам JVM

    щито?

     
     
  • 7.184, iZEN (ok), 23:00, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> это же самое относится и к программистам JVM
    > щито?

    JVM написана на C++. OpenJDK7u51 для компиляции JVM нужен GCC 4.6+ (LLVM/Clang не по зубам).


     
     
  • 8.187, Аноним (-), 23:10, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Изя, попробуй поспорить с берштейновским определением проблем безопасности проб... текст свёрнут, показать
     
  • 7.188, Аноним (-), 23:11, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > щито?

    Знакомьтесь, это - изен. Жабист. Я чертовски уверен что он не сможет написать безопасную программу ни на каком ЯП вообще.

     

     ....большая нить свёрнута, показать (42)

  • 1.157, Аноним (-), 15:10, 11/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нибудь подскажет, ошибка при apt-get update (с https://mirrors.kernel.org/):
    GnuTLS recv error (-9): A TLS packet with unexpected length was received.
    Из-за исправления этой уязвимости? Как исправляется?
     
     
  • 2.158, Аноним (-), 15:26, 11/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А не, не из-за этой, само исправилось..
     
  • 2.211, Аноним (-), 08:14, 13/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-нибудь подскажет, ошибка при apt-get update (с https://mirrors.kernel.org/):
    > GnuTLS recv error (-9): A TLS packet with unexpected length was received.
    > Из-за исправления этой уязвимости? Как исправляется?

    что GNUTLS, что GNUPG - мало того что код, вежливо говоря - написан странно, так еще и бинарники себя чудно ведут. даже версию под оффтопик - не раз ловили за "лазанием не туда", как-бы.

     

  • 1.164, V (??), 17:58, 11/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://istheinternetfixedyet.com/
     
  • 1.199, t28 (?), 11:27, 12/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > могла эксплуатироваться с ноября прошлого года

    Не было ни единого разрыва! Не-бы-ло!

     
  • 1.203, Аноним (-), 14:35, 12/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://dlang.ru/211-heartbeat-cve-2014-0160
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру