SSL više nije siguran?

[Valley7]

http://heartbleed.com

Zna li netko kakva je ovo drama? :-\

[tomek@vz]

Pa sve ti piše na linku Otrkriven bug u OpenSSL-u koji je fixan u novijoj verziji.

[Bluzer]

http://en.wikipedia.org/wiki/Heartbleed_bug

Zanimljivo, pcekspert.com svi checkeri prikazuju kao vulnerable.

[Valley7]

To sigurno imaju nsa/cia/mossad prste u tome... Ne vjerujem u slučajnost.

[Necto]

Citiraj:

Autor Bluzer

http://en.wikipedia.org/wiki/Heartbleed_bug

Zanimljivo, pcekspert.com svi checkeri prikazuju kao vulnerable.

Zar je pcexpert uopce na sslu ?

[Valley7]

Citiraj:

Autor Necto

Zar je pcexpert uopce na sslu ?

Nije...

No glede ove drame sa open ssl-om ispada da je poželjno samo promijenit paswort na zahvaćenim servisima kao yahoo...

Nisu baš nekaj ljude informirali.

Meni u gmailu nije došla nikakva službena obavijest o svemu tome, iako se okolo piše da je i za njega poželjno promijeniti paswort...

[doctorg]

Jel da palimo kompove uopće?

[Bluzer]

Citiraj:

Autor Necto

Zar je pcexpert uopce na sslu ?

Nema to apsolutno nikakve veze, nepatchirani open ssl postoji na serveru i to je bitno.

[calypso]

Iskreno, cijela ta prica o Heartbleedu je zesca glupost. Vulnerability scanneri ga smatraju Severity 4 problemom, a ne 5, dakle nije kriticno za hitno patchiranje. U principu, ako patchiras unutar 30 dana ce ti security auditori reci da si OK postupio, ionako je vec 2 godine aktivan.

Sto tocno Heartbleed bug radi je receno u sljedecoj recenici - 'permitting attackers to read up to 64 kilobytes of the victim's memory that was likely to have been used previously by OpenSSL'. Sad, ako neko moze izvuci nesto koristno iz 64kB random podataka, svaka mu cast.

Pred par dana su mi vulnerability scanneri poceli vikat za jos jedan Severity 4 problem (zapravo vise njih) vezan uz OpenSSL - OpenSSL Multiple Remote Security Vulnerabilities. Ovaj me malo vise brine.

CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470, CVE-2014-0076