> Updatujte, revokujte certifikaty, mente hesla, informujte uzivatele,
> udelejte si reserse pohybu citlivych dat na serverech. A pak si treba dejte
> panaka.
>
> http://heartbleed.com/ citlivych dat na serverech. A pak si treba dejte
Doplneni - ze zkusenosti kolem sebe si lide nektere veci neuvedomuji:
* Heartbeat muze poslat i server klientovi, mate-li tedy zranitelne OpenSSL
na klientske strane a pripojovali jste se ke strojum, ktere nejsou pod
vasi kontrolou, meli byste data, ktera v tomto okamziku mohla byt v pameti
vasi lokalni aplikace, ktera se pripojovala, povazovat za zkompromitovana.
Nejrozsirenejsi browsery (FF, Cr) a Thunderbird nepouzivaji OpenSSL ale
libNSS.
OpenSSH casto OpenSSL pouziva, ale nepouziva TLS Heartbeat, presneji
nepouziva TLS.
To situaci trochu zjednodusuje - staci se zabyvat ostatnimi aplikacemi,
ktere pouzivaji OpenSSL (FTP/SSL, SSMTP, IMAPS, POP3S, ...).
* Polovina webovych serveru na svete pouziva Apache nebo nginx, ktere pro
sifrovani nejcasteji pouzivaji OpenSSL. Je rozumne predpokladat, ze velka
cast na bezpecnost dba a je pravidelne upgradovana, tedy se na nejakou dobu
potkaly se zranitelnym OpenSSL, a povazuju za velmi pravdepodobne, ze po
zverejneni zranitelnosti zajimave weby ojizdely zastupy skriptacku. A v
dobe posnowdenowske povazuju za rozumne predpokladat, ze Nahodile
Samolibe Autority delaly totez i predtim (a to i v pripade, ze nebudu
natolik paranoidni, abych hadal, od koho ma Stephen Henson nebo Robin
Seggelman vyplatni pasku [1] :) ).
Ergo: cas na revizi a zmenu veskerych hesel na internetove sluzby.
[1] http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=bd6941cf
____________________________________________________________________pharook_
"Mesic je dulezitejsi nez Slunce", reklo dite. "Protoze sviti, kdyz je tma."
|