פריצה בתעודות דיגטליות

[Rhost]

כל מי שיודע או לא יודע לפני שבועיים התגלה פריצה חמורה בתעודות דיגטליות
שמאפשר לראות את כל התעבורה ב clear text
פה תוכלו לראות את ההסבר על הפריצה:
http://heartbleed.com

כדי לוודא שהפריצה לא קיימת אצלכם בתעודה דיגיטלית תוכלו לבדוק אותה באתר הבא:
https://www.ssllabs.com/ssltest/index.html

במידה וקיימת אצלכם הפריצה אתם צריכים הנפקה חוזרת של תעודה דיגיטלית
רצוי שתפנו לספק מאיפה שהזמנתם את התעודה ויסבירו לכם איך לעשות את זה.

[OrPol]

ציטוט:

נכתב במקור על ידי Rhost

כל מי שיודע או לא יודע לפני שבועיים התגלה פריצה חמורה בתעודות דיגטליות
שמאפשר לראות את כל התעבורה ב clear text
פה תוכלו לראות את ההסבר על הפריצה:
http://heartbleed.com

כדי לוודא שהפריצה לא קיימת אצלכם בתעודה דיגיטלית תוכלו לבדוק אותה באתר הבא:
https://www.ssllabs.com/ssltest/index.html

במידה וקיימת אצלכם הפריצה אתם צריכים הנפקה חוזרת של תעודה דיגיטלית
רצוי שתפנו לספק מאיפה שהזמנתם את התעודה ויסבירו לכם איך לעשות את זה.

בוא לא נגזים.
א' - הפירצה היא לא ב'תעודה' אלא במימוש של openssl בגרסאות ספציפיות (אם אני זוכר נכון 1.0.1a עד f כולל)
ב' - אתה לא מקבל 'את כל התעבורה בclear text' אלא buffer בגודל עד 64 קילו מהזכרון של השרת. סטטיסטית, יש שם דברים 'מעניינים' כמו בקשות שהגיעו ממשתמשים בclear text.

חבל לעורר פאניקה.

לגבי ההמלצה שלך - מסכים, שווה לבדוק האם השרת בו עושים שימוש פגיע לחולשה ואם כן, קודם כל לסגור אותה ע'י עדכון של ספריית openssl וapache או שירותים נוספים במידת הצורך.

בברכה,

[MyDns]

1. באותו יום שהקבוצה אנומיוס פרצה למערכות. RedHat שחררו עדכון גירסא ל OpenSSl.
2. הפירצה היא: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server (מאת OpenSSl )
3. התיקון : עדכון גירסא . המלצה גבוה- קימפול מחדש לאפצי. וריסטרט לכל להשירותים שעובדים על SSL
4. אפשר לבצע בדיקה באמצעות הפקודה :

ציטוט:

lsof -n | grep ssl | grep DEL