[Forss]

Soomlased avastasid OpenSSLis tõsise turvaaugu. Kahju on saanud tuhanded populaarsed veebilehed, tuntuimatest Yahoo, Imgur, Flickr ja Lastpass.

http://www.theverge.com/2014/4/8/5594266/how-heartbleed-broke-the-internet


"... He told us OpenSSL runs on top of two of the most widely used Web servers: Apache and nginx. He pointed out that it also runs on e-mail servers and chat services, VPN and other software that use the code library.

“Many devices that use embedded Linux including routers and other devices may also be susceptible,” Westin said. “Attackers who exploit the vulnerability can monitor all data passing between a service and client, or decrypt historical encrypted data that has been collected.”

He left us with a warning: Many modern operating systems use vulnerable versions of Open SSL including Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2."

http://www.sci-tech-today.com/news/Heartbleed-Bug-Breaks-Web-Security/story.xhtml?story_id=0200028EM7FC


Rohkem infot:
http://www.heartbleed.com
http://filippo.io/Heartbleed/
https://blog.ipredator.se/2014/04/how-to-test-if-your-openssl-heartbleeds.html
https://gist.github.com/dberkholz/10169691
https://github.com/blog/1818-security-heartbleed-vulnerability

[Dogbert]

Parandused olid väljas juba eile nii Debianile kui Ubuntule, ainsaks tõsisemaks probleemiks võib olla enne paranduse rakendamist toimunud andmete leke ja vigase openssl-i abil genereeritud sertifikaadid - viimased tuleb kõik uued teha. Kui serdid on genereeritud enne vigase openssl versiooni paigaldust, siis pole see vajalik.

[tomes]

Välja tuleb vahetada mitte vigase versiooniga genereeritud, vaid koos vigase versiooniga kasutuses olnud võtmed ja sertifikaadid.

[Vael]

Kas see puudutab ka ID kaardiga tuvastamist? Ja kui siis peaks sertifikaate uuendama Ubuntus?

[tomes]

Vael, antud turvaaugu abil saadi kätte serveri vahemälus olev privaatvõti - ID-kaart privaatvõtmeid välja ei anna, seega pole uuendamiseks vajadust.

[Dogbert]

[kriimsilm]

Ja kasutajad peaksid muutma enda paroolid.
Kes seda nüüd oskab öelda, millised serverid on vigast versiooni kasutanud ning kui paljud loginad hashimata ja soolamata väärtuseid serverisse saadavad?

[Dogbert]

Kuigi ehk enamusele AHV-idest on see ehk iseenesestmõistetav, siis igaks juhuks märgin siin veel, et paroole vahetada on mõtet ikkagi vaid neis veebikeskkondades, kus tegelikult ikka sisselogimisel krüpteeritud ühendust kasutatakse. Kui ühendus käib üle http ja mitte üle https-i (nagu näiteks HV ), siis ei ole sel mingit mõtet, sest siin ei ole ühendus krüpteeritud nagunii.

[Etz]

Jah aga siin on ainult üks aga...ilma testimata on ilmvõimatu teada saada, kas serveris on openSSL juba patchitud või ei.
Paroolimuutmine ei anna mingit effekti, kui serveri ise plaastrit selga pole saanud.

[Dogbert]

[Etz]

Dogbert, küllap vist, seega ca 600 parooli ootab mul muutmist...

[henri17]

Natuke mugavam tööriist serveri testimiseks, http://filippo.io/Heartbleed/

[Forss]

Kas mõni Eesti veebileht on ka tunnistanud turvaauku ja soovitanud paroole vahetada?

Mina olen ainukesena näinud LHV facebookis teadet, kuigi viga neid ei puuduta.

Edit: Väike Googeldus ja paar teadet leidsin veel:

https://www.ria.ee/ria-palub-susteemiadministraatoritel-uuendada-serverite-tarkvara/
http://www.kahvel.ee/30342/ardi-jurgens-zone-ee-platvorm-ei-sisaldanud-heartbleedi-norkust/

Aga laiemat teavitust pole olnud

[Vael]

Ikka kripeldab see panganduse teema? Pole hetkel aega, et uurida rohkem aga kuidas pangas ID kaardi https saidil kasutamine siis nii kardinaalselt erineb muudest saitidest?

[tahanteada]

Apple pajatab siis samal teemal, ehk on kellelegi sellest kasu:
Heartbleed: Apple says iOS, OSX, and other key web services not affected

Apple has confirmed that iOS, OSX, and other "key" web services were not vulnerable to the Heartbleed bug that has affected numerous popular websites. “Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key Web-based services were not affected,” an Apple spokesperson told Re/code.
The statement comes just a few days after the vulnerability was disclosed. Apple did not specify which key web services it's referring to and if any of its properties were indeed hit -- though the wording at least suggest that nothing critical was compromised.

Edasi lingil:
http://www.techspot.com/news/56358-heartbleed-apple-says-ios-osx-and-other-key-web-services-not-affected.html

[tomes]

Vael, nagu juba öeldud, siis antud turvavea tõttu oli võimalik kätte saada serveri privaatvõti. Viimase olemasolul saab esineda serverina, samuti dekrüpteerida kliendilt serverile saadetud andmeid. Kui serverile on turvapaik paigaldatud, genereeritud uus privaatvõti ja sellele vastav sertifikaat, siis on korras, sest sinu privaatvõtit pole kätte saadud. Nimelt genereeritakse ID-kaardi privaatvõtmed kiibi sees, neid sealt "maha lugeda" pole võimalik (just seepärast pole võimalik ka ID-kaarti kopeerida).

[number]

...

[Vael]

[hans]

http://imgs.xkcd.com/comics/heartbleed_explanation.png

[tomes]

[tahanteada]

ZDNet pajatab, et seesama probleem on jätkuvalt püsti:

Heartbleed: Over 300,000 servers still exposed
Summary: Two months after the infamous 'Heartbleed' bug was discovered, over half of vulnerable servers remain unpatched and still exposed.

Edasi lingil:
http://www.zdnet.com/heartbleed-over-300000-servers-still-exposed-7000030813/