|
פריצה בתעודות דיגטליות
כל מי שיודע או לא יודע לפני שבועיים התגלה פריצה חמורה בתעודות דיגטליות
שמאפשר לראות את כל התעבורה ב clear text פה תוכלו לראות את ההסבר על הפריצה: http://heartbleed.com כדי לוודא שהפריצה לא קיימת אצלכם בתעודה דיגיטלית תוכלו לבדוק אותה באתר הבא: https://www.ssllabs.com/ssltest/index.html במידה וקיימת אצלכם הפריצה אתם צריכים הנפקה חוזרת של תעודה דיגיטלית רצוי שתפנו לספק מאיפה שהזמנתם את התעודה ויסבירו לכם איך לעשות את זה. |
ציטוט:
א' - הפירצה היא לא ב'תעודה' אלא במימוש של openssl בגרסאות ספציפיות (אם אני זוכר נכון 1.0.1a עד f כולל) ב' - אתה לא מקבל 'את כל התעבורה בclear text' אלא buffer בגודל עד 64 קילו מהזכרון של השרת. סטטיסטית, יש שם דברים 'מעניינים' כמו בקשות שהגיעו ממשתמשים בclear text. חבל לעורר פאניקה. לגבי ההמלצה שלך - מסכים, שווה לבדוק האם השרת בו עושים שימוש פגיע לחולשה ואם כן, קודם כל לסגור אותה ע'י עדכון של ספריית openssl וapache או שירותים נוספים במידת הצורך. בברכה, |
1. באותו יום שהקבוצה אנומיוס פרצה למערכות. RedHat שחררו עדכון גירסא ל OpenSSl.
2. הפירצה היא: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server (מאת OpenSSl ) 3. התיקון : עדכון גירסא . המלצה גבוה- קימפול מחדש לאפצי. וריסטרט לכל להשירותים שעובדים על SSL 4. אפשר לבצע בדיקה באמצעות הפקודה : ציטוט:
|
| כל הזמנים הם GMT +2. הזמן כעת הוא 17:59. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ