http://techcrunch.com/2014/04/08/openssl-heartbleed-bug-leaves-much-of-the-internet-at-risk/
Er det rigtigt forstået, at dem, der kan udnytte fejlen, kan gå direkte ind i serverens memory og hente 64kb data af gangen?
Hvad de henter der vil være i klartekst?
Er det rigtigt, at man bør ændre alle adgangsdata for de onlinetjenester, man har oprettet?
Jeg mener, der var en opdatering til openssl i ubuntu forleden dag. Men den har altså ingen betydning for
pc'ens sikkerhed?
Tak.
openssl med usikkerhed
-
AJenbo
- Admin
- Indlæg: 20878
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: openssl med usikkerhed
Ja det er det en hacker ville have kunne gøre. Om det de henter fra hukommelsen er krypteret eller ej, kommer and på hvad det er de fik fat på.
Den opdatering der kom var nettop for at lukke dette hul. Hvis ikke du køre en server er der ikke det store problem. Det er ikke alle udgaver af OpenSSL der er ramt (kun 1.0.1 - 1.0.1f) så hvis en server har kørt med en anden version har der ikke være et hul. Det svare ca. til at sider som køre med https ikke var meget sikre end sider med http, så det er kun vigtig hvis det er noget som du absolut ikke vil have andre kan have haft adgang til. Og så kan det self. være at en pågælden side endnu ikke har fået opdateret deres openssl, i så fald vil det ikke hjælpe at ændre koden.
Den opdatering der kom var nettop for at lukke dette hul. Hvis ikke du køre en server er der ikke det store problem. Det er ikke alle udgaver af OpenSSL der er ramt (kun 1.0.1 - 1.0.1f) så hvis en server har kørt med en anden version har der ikke være et hul. Det svare ca. til at sider som køre med https ikke var meget sikre end sider med http, så det er kun vigtig hvis det er noget som du absolut ikke vil have andre kan have haft adgang til. Og så kan det self. være at en pågælden side endnu ikke har fået opdateret deres openssl, i så fald vil det ikke hjælpe at ændre koden.
-
gtr
Re: openssl med usikkerhed
Tak for svar.
Sikkerhedsfejlen har været der i 2 år. Og man ved ikke, om nogen har kendt den. Hvis nogen har kendt den,
og tilsyneladende har været i stand til at holde den viden for sig selv, må det være store mængder data, de har
været i stand til at samle. Men det er vel en stor opgave at finde de data, som er profitable at anvende.
Sikkerhedsfejlen har været der i 2 år. Og man ved ikke, om nogen har kendt den. Hvis nogen har kendt den,
og tilsyneladende har været i stand til at holde den viden for sig selv, må det være store mængder data, de har
været i stand til at samle. Men det er vel en stor opgave at finde de data, som er profitable at anvende.