A Heartbleed sérülékenység kapcsán eddig világos volt, hogy: A bejelentést követő javítási ablakban minden valamennyire is ismert szolgáltatás esetén gyakorlatilag biztosra vehető, hogy a kiszolgálók által kezelt adatok jelentős része (jelszavak, session azonosítók, egyéb…

Az OpenSSL 1.0.1-es főverziójában olyan problémát azonosítottak, ami távoli támadók számára kiszivárogtathatja a kommunikációs csatornák titkosítására használt privát kulcso(ka)t. Igen, jól olvastátok, a hibán keresztül kiszivárgohat a szerver tanúsítvány privát kulcsa…

BÚÉK minden kedves látogatónak Még igyekszem kiheverni az év végi pálinka (kösz Balu!)-pezsgő-töltöttkáposzta sokkot, úgyhogy csak egy gyors poszt az OpenSSL incidensről: Aki lemaradt volna Twitteren, az openssl.org-t december 29-én deface-elték. Január 1-én az üzemeltetők egy…

Kódfuttatásra alkalmas heap korrupciós hibát javítottak a megszámlálhatatlan helyen használt OpenSSL könyvtárban. A probléma a rengeteg esetben fejtörést okozó ASN.1 implementációt érinti, és egy integer kezelési problémából fakad. A hiba triggereléséhez a támadónak egy…

Az OpenSSL fejlesztőcsapata olyan hibát fedezett fel a szoftver 0.9.8f-0.9.8m változataiban, amely szolgáltatásmegtagadást eredményezhet a kliens és szerver végpontokon. A probléma bizonyos TLS rekordok helytelen feldolgozásából adódik, és NULL-ról olvasást eredményez. A…

Ez egy ilyen bugos nap, én viszont kezdek kimúlni, szóval csak röviden, tömören:Kijött egy hibajavító csomag az OpenSSL-hez, ezeket a problémákat lehet vele gyógyítgatni (a foltozatlan verziókon pedig esetleg kihasználni):ASN.1 struktúrák kiírásakor a szoftver néha olyan…

A Google biztonsági csapata man-in-the-middle támadásra lehetőséget adó sebezhetőséget fedeztett fel a népszerű OpenSSL csomag kliens részében. Az EVP_VerifyFinal() függvény visszatérési értéke több helyen is helyetenül került ellenőrzésre, ezért a DSA és ECDSA szabvány…

Nem egyszerű téma az IT-biztonság, lássuk be! Az embernek folyamatosan naprakésznek kell lennie a legújabb trendekkel és fenyegetésekkel kapcsolatban, ha talpon akar maradni, és dédelgetett rendszereink soha véget nem érő ápolásra szorulnak a virtuális világ ezer veszélyével…

Riskó Gergely értekezése: A probléma 2006 szeptember 17 és 2008 május 13 között minden fajta OpenSSL-sel kapcsolatos véletlen érték mindössze egy folyamatazonosítóból generált hash volt Debian és Ubuntu rendszereken, valamint olyan más disztrókban, amelyek ezek valamelyikére…

HD Moore összefoglalója a metasploit.com-ról: A hiba 2008. május 13-án a Debian projekt bejelentette, hogy Luciano Bello egy érdekes hibát talált az általuk terjesztett OpenSSL csomagban. A kérdéses hibát a következő kódrészlet eltávolítása okozta az md_rand.c-ből…

Nyilvánosságra hozták a Pwnie díj jelöltjeit: Legjobb szerver-oldali hiba Sendmail - versenyhelyzet a jelzéskezelésben - Mark Dowd A legjobbak azok a hibák, amiről a gyártó azt állítja, hogy kihasználhatatlanok, amíg egy élelmes kutató be nem bizonyítja az ellenkezőjét.…