SSL Gau: Testaa ohjelmat ja verkkopalvelut

Julkaisemisen valtavien heartbleed-haavoittuvuus kuilu on monia palveluja kiinni kylmä - kuten Adobe, LastPass, Web.de ja jopa VeriSign. Käyttäjät voivat verkossa tarkistaa, onko käyttämien palvelujen ne on jo suojattu.

Heartbleed-haavoittuvuus bug: Tällä GAU web salauksen

Heartbleed-haavoittuvuus bug: Tällä GAU web salauksen

Erittäin vakava ohjelmointivirheitä vaarantunut salausavaimia ja data varmuuskopioidaan OpenSSL yhteydet Internetissä. Kuilu tulevat myös luottamuksellisten tietojen, kuten selväkielisenä salasanoja. Yleisyyden vuoksi avoimen lähdekoodin kirjasto, tämä on katastrofaalisia seurauksia.

  • Joten heartbleed-haavoittuvuus hyödyntää teoksia
  • SSL Gau: Testaa ohjelmat ja verkkopalvelut
  • Salasanat vaarassa - mitä nyt?
  • Heartbleed-haavoittuvuus sairastuneille strutsi vaikutus
  • Salasana: heartbleed-haavoittuvuus ero katastrofaalisia seurauksia
  • Tietoa ja taustaa heartbleed-haavoittuvuus bug

Valtavien heartbleed-haavoittuvuus vian laajaa salauskirjasto OpenSSL mahdollistaa yhteyden kumppanit voivat hyökätä toisiaan. Herkissä web-palvelimia on kyse kyvystä lukea yksityisiä kryptoavaimilla muistista. Jolla hyökkääjä voi sitten purkaa SSL-liikenne on kaikille käyttäjille.

kiinni kylmä

Jotkut operaattorit palveluja kuten CloudFlare ilmeisesti aiemmin ilmoittanut löytäjä vika; Kuitenkin kriteerit, joiden tämän valinnan tehdään ole tiedossa. Näytteitä Heise Security osoittavat, että monien tahojen sivustot olivat tietenkään ole valmis vapauttamaan haavoittuvuuden yksityiskohtia. Aamulla, esimerkiksi Adobe.com, Web.de, VeriSign.com, Comodo.com ja sivuston online Password Manager LastPass olivat edelleen haavoittuva.

Yhtiöt ovat nyt kaikki vastanneet. Operaattorit online tehtävien hallinta Wunderlist on varotoimi pois pilvisynkronoinnin koska vuokra Amazonin palvelimilla vaikuttaa myös. Edelleen haavoittuva on tietenkin vain paikalla OpenSSL Project.

Iltapäivällä paikalle OpenSSL hanke on vieläkin herkemmin.
Iltapäivällä paikalle OpenSSL hanke on vieläkin herkemmin.suurentaasekkipalvelut

Kahdella testauspalvelut voit selvittää, jos käyttämien palvelujen olet haavoittuvia vielä eli filippo.io/Heartbleed ja possible.lv/tools/hb. Lisäksi on saman tekijän, Go-Script heartbleed-haavoittuvuus, jolla voit suorittaa nämä testit paikallisesti. voi check-ssl-heartbleed.pl Perl-skripti jopa postipalvelin testi STARTTLS. Päivitä 9. huhtikuuta 09:45: Samaan aikaan on myös testi moduuleja Metasploit, Nmap, Nessus OpenVAS ja sopivalla xkcd.

Useimpien Linux suojattavan OpenSSL-versiot ovat nyt tarjotaan pakettienhallinnalla. mutta jotkut ohjelmat, kuten Apache SPDY moduuli asentaa omia kirjastoja. Voit tarkistaa tämän, yksi nykyisin toimivat järjestelmässä kirjastoissa Linux voi lsof komennolla | grep näyttö libssl. Täällä, niin jotain näkyy sellaisenaan:

apache2 ... /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
VMware ... /usr/lib/vmware/lib/libssl.so.0.9.8/libssl.so.0.9.8

Samalla Sophos oli myönnettävä, että UTM laitteet (ent Astaro) ovat alttiita kuilu. Turvallisuus laastari on vielä kesken. Mutta on olemassa myös hyviä uutisia: OpenSSH ei vaikuta ensi silmäyksellä. Vaikka se käyttää perus salauksen toiminnot OpenSSL, mutta ei käytä haavoittuvia TLS toimintoja.(Rei)