Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

Все очень серьезно. Начиная с 1 января 2012 года и до вчерашнего дня (1.0.1.f включительно) все версии OpenSSL уязвимы. Ошибка в реализации протокола TLS/DTLS, который используется для HTTPS соединений. Все ваши ключи (и пароли) при подключении на уязвимый сервер (или с уязвимого клиента) могли быть скомпрометированы. Срочно всем обновляться!

https://www.openssl.org/news/secadv_20140407.txt
http://heartbleed.com/

На русском:
http://habrahabr.ru/post/218609/
http://habrahabr.ru/post/218661/

Проверить сервер на уязвимость:
https://www.ssllabs.com/ssltest/
http://rehmann.co/projects/heartbeat/
чёрт, archlinux.org успели обновить. надо было с утра скриншот делать ;)
такие дела.
cucullus
чёрт, archlinux.org успели обновить. надо было с утра скриншот делать ;)
А что с ним было не так?
lampslave
А что с ним было не так?

Возможно, cucullus имел в виду, что новости нету на archlinux.org? Так и не было ее там.
Забавно, что многие не понимают всю серьезность ситуации. Могли быть украдены ваши аккаунты от банковских систем, почты, соц. сетей да и вообще всего, что работало по протоколу https. Где-то проскакивало, что уязвимы были треть всех серверов в интернете.

Настоятельно не рекомендую заходить на уязвимые сайты. Особенно сейчас, когда уязвимость ушла в открытый доступ.
Вот прямо сейчас можно сидеть и вылавливать пароли от yahoo.com.
Линуксбизапаснасть в действии. Выкидывать к чертям с веб-серверов, пока ещё что-нибудь не вылупилось.
cucullus
чёрт, archlinux.org успели обновить. надо было с утра скриншот делать ;)
Вчера вечером еще был уязвим
killer1804
Вчера вечером еще был уязвим
Вы чего так)) Арч как всегда был самым оперативным (одним из...)
openssl
Signature Date: 2014-04-07 20:36 UTC
Last Updated: 2014-04-08 03:25 UTC
Ошибки в тексте-неповторимый стиль автора©
killer1804
Вчера вечером еще был уязвим
ну доступ к веб-интерфейсу не так много дает. Все основные операции с пакетами в репах осуществляются через ssh.
PGP 0x31361F01
arcanisrepo
elsonador
Линуксбизапаснасть в действии. Выкидывать к чертям с веб-серверов, пока ещё что-нибудь не вылупилось.

Windows, конечно, лучше.
Только "уронила" всю Лондонскую биржу на днях... Но это ведь мелочь.
Т.е., вы не различаете "не смог снять деньги со счёта" и "неизвестные спёрли все мои деньги неизвестно куда"?
 
Зарегистрироваться или войдите чтобы оставить сообщение.