abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:55 | Nová verze

    Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 122 (pdf), HackSpace 59 (pdf), Wireframe 66 (pdf) a Custom PC 230 (pdf).

    Ladislav Hagara | Komentářů: 0
    včera 15:55 | Pozvánky

    V pondělí 3. října od 18:15 proběhne na FIT ČVUT přednáška NÚKIB: Utajované informace a TEMPEST. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) představí svoje aktivity v oblasti ochrany utajovaných informací z hlediska problematiky TEMPEST a kompromitujícího vyzařování. V rámci přednášky budou vysvětlena rizika úniku informací formou parazitního elektromagnetického vyzařování. Součástí bude také oblast

    … více »
    Ladislav Hagara | Komentářů: 8
    včera 15:22 | Zajímavý software

    GOG.com slaví čtrnáctiny a řadu počítačových her prodává se slevou. Hru Master of Magic Classic lze získat zdarma.

    Ladislav Hagara | Komentářů: 7
    včera 11:11 | Nová verze

    Byla vydána finální beta verze Ubuntu 22.10 s kódovým názvem Kinetic Kudu. Přehled novinek v poznámkách k vydání. Dle plánu by Ubuntu 22.10 mělo vyjít 20. října 2022.

    Ladislav Hagara | Komentářů: 2
    včera 07:00 | IT novinky

    Po text-to-image AI systémech, jako například DALL·E 2 (OpenAI), pro generování obrázků z textu, nastupují text-to-3D AI systémy jako DreamFusion (Google a UC Berkeley) pro generování 3D obrázků z textu a text-to-video AI systémy jako Make-A-Video (Meta) pro generování krátkých videí z textu.

    Ladislav Hagara | Komentářů: 0
    29.9. 22:11 | IT novinky

    Google oznámil konec své herní platformy Stadia. Servery budou vypnuty 18. ledna 2023. Více ve FAQ. Google představil Stadiu v březnu 2019. Pro hráče z Česka a Slovenska byla Stadia dostupná od prosince 2020.

    Ladislav Hagara | Komentářů: 9
    29.9. 15:33 | Komunita

    Před pěti dny pouze kostka, dnes již na Apple M1 GPU pomocí ovladače pro Linux napsaného v Rustu běží Neverball, Firefox s YouTube a framework pro VTubing Inochi2D v GNOME na Waylandu (YouTube, Twitter).

    Ladislav Hagara | Komentářů: 4
    29.9. 14:00 | Komunita

    Bylo rozhodnuto, že se vývoj kolekce softwarových nástrojů GNU Toolchain přesune ze Sourceware do Linux Foundation. Do GNU Toolchain patří GNU Compiler Collection (gcc), GNU Make, GNU C Library (glibc), GNU Binutils, GNU Bison, GNU M4, GNU Debugger (gdb) a GNU Autotools. Pod Linux Foundation vznikne nový projekt GNU Toolchain Infrastructure (GTI). Na infrastruktuře Linux Foundation probíhá vývoj Linuxu a mnoha dalších open source projektů.

    Ladislav Hagara | Komentářů: 2
    29.9. 13:22 | Nová verze

    Byla vydána nová stabilní verze 6.4 multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání. Zdůraznit lze nové moduly Qt HTTP Server a Qt Quick 3D Physics. Opět je k dispozici modul Qt TextToSpeech. V modulu Qt Quick Dialogs je nově ColorDialog.

    Ladislav Hagara | Komentářů: 0
    29.9. 12:33 | Humor

    Projekt ButtFish odpoví na otázku, zda je možné v šachu podvádět pomocí hračky pro dospělé a morseovky. Využívá open source framework Buttplug.

    Ladislav Hagara | Komentářů: 13
    Bavíte se s chatboty na webových stránkách e-shopů, bank, mobilních operátorů atd.?
     (22%)
     (4%)
     (48%)
     (25%)
    Celkem 295 hlasů
     Komentářů: 0
    Rozcestník


    Závažná bezpečnostní chyba v OpenSSL

    Byla nalezena závažná bezpečnostní chyba v kryptografické knihovně OpenSSL. Heartbleed Bug se týká verze 1.0.1 a umožňuje útočníkovi získat přistup k paměti připojeného serveru nebo klienta a tím pádem k veškerým zpracovávaným informacím (soukromé klíče, certifikáty, jména, hesla, maily, dokumenty). Verze 1.0.1 vyšla v březnu 2012. Chyba CVE-2014-0160 byla opravena včera vydáním verze 1.0.1g (bezpečnostní upozornění). Jedná se o programátorskou chybu v implementaci rozšíření TLS Heartbeat. Diskuse například na Hacker News nebo Slashdot.

    8.4.2014 05:36 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    8.4.2014 07:30 jc
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Potes koste.
    8.4.2014 08:22 gsnak | skóre: 21 | blog: gsnak
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    kurvadrat nelinkujte na betu
    Čo Rus, to vrah!
    8.4.2014 10:19 Ladislav Hagara | skóre: 98 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Dík, opraveno.
    Pro návrat zpět http://slashdot.org/?nobeta=1.
    8.4.2014 11:48 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Co to furt meleš s tou betou?
    pavlix avatar 8.4.2014 11:53 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Odkaz na beta verzi slashdotu, pokud správně chápu.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    8.4.2014 08:31 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ještě že jedu na oldstable Debian-u :).
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    10.4.2014 16:55 Andrej | skóre: 50 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    11.4.2014 11:39 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Článek se týká jakékoliv distribuce ;-)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    11.4.2014 14:05 reb
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    To samozřejmě ne, některých se naštěstí netýká ;-)
    Jendа avatar 11.4.2014 14:18 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jaké třeba? Rád bych takovou používal. A na jakém počítači ji mám spouštět?
    pavlix avatar 11.4.2014 14:10 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    ...he discussed how UNIX-like systems like Debian...
    Nezdůrazňoval jsi náhodou nedávno v diskuzi, že nejsi žádný fanatik?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    H0ax avatar 8.4.2014 09:26 H0ax | skóre: 36 | blog: Odnikud_nikam
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    slušnej průduch:
    "We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication."

    mimochodem dneska ráno:
    yum update
    HTTPS Error 503 - Service Unavailable

    už to začíná :-D
    uid=0(root) gid=0(root) skupiny=0(root)
    8.4.2014 09:36 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Vyjelo mi:
    openssl  x86_64 1.0.1e-16.el6_5.7  updates  1.5 M
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    8.4.2014 10:21 Ja
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    ChangeLog for: openssl-1.0.1e-16.el6_5.7.i686, openssl-devel-1.0.1e-16.el6_5.7.i686
    * Mon Apr  7 14:00:00 2014 Tomáš Mráz < tmraz@redhat.com > 1.0.1e-16.7
    - fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
    
    LukynZ avatar 8.4.2014 10:46 LukynZ | skóre: 2 | blog: status_quo | Ostrava
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    <paranoid>Programatorska chyba, nebo dobre zaplacena chyba "programatora"?</paranoid>
    Jendа avatar 8.4.2014 13:33 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Zas tak moc dobře mi za to nezaplatili.
    8.4.2014 11:13 Mike
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Takže každý teď může realisticky předpokládat, že NSA má komplet databázi všech privátních SSL klíčů na Internetu ;-)

    Kdo teď okamžitě neregeneruje veškeré SSL klíče na svých serverech (kde byla OpenSSL 1.0.1) je s prominutím idiot.
    little.owl avatar 8.4.2014 11:27 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    +1
    $ man rtfm
    8.4.2014 12:57 Sid
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Podla toho clanku nie je uplne iste ze sa kluc zrovna trafil do tych 64KB? V niektorych pripadoch to tak moze byt ale obecne asi nie? Ci sa mylim?
    Jendа avatar 8.4.2014 13:33 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Prej to je 64 KiB v jedné session, ale útočník se může ptát znovu a znovu, dokud nepřečte celou paměť.
    8.4.2014 13:56 R
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Celu pamat? Utocnik nemoze ovplyvnit, ktorych 64 KB dostane.
    Jendа avatar 8.4.2014 16:08 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Aha, OK. Nevím o tom víc než tohle.
    Bystroushaak avatar 8.4.2014 18:02 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    To sice nemůže, ale pořád toho dostává hodně. Opravdu hodně. Včetně například výpisu http komunikace právě připojených klientů.
    ./hb-test-proxy.py censored.eu
    Connecting...
    Sending Client Hello...
    Waiting for Server Hello...
     ... received message: type = 22, ver = 0302, length = 58
     ... received message: type = 22, ver = 0302, length = 3644
     ... received message: type = 22, ver = 0302, length = 525
     ... received message: type = 22, ver = 0302, length = 4
    Sending heartbeat request...
     ... received message: type = 24, ver = 0302, length = 16384
    Received heartbeat response:
    @SC[���x
            �
             �+��H�Ͻ9
    ���w3f�
    �"�!98����6���
            2��ED��/�A��
                         �I
    
    42
    
    
    #text/javascript, */*; q=0.01
    X-Requested-With: XMLHttpRequest
    User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36
    Referer: https://censored/index.php?page=dashboard
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: nl-NL,nl;q=0.8,en-US;q=0.6,en;q=0.4
    Cookie: selectedcurrency=usd; usdperiod=Day; hashrate=90000; coincalc[0]=doge; coincalc[1]=fst; coincalc[2]=ltc; coincalc[3]=mec; coincalc[4]=wdc; __utma=43463865.381303622.1388356898.1396383387.1396897075.25; __utmc=43463865; __utmz=43463865.1396897075.25.14.utmcsr=chat.censored|utmccn=(referral)|utmcmd=referral|utmcct=/index.php; _ga=GA1.2.381303622.1388356898; PHPSESSID=0s9fq93njadcqgmfntmdrho6e3
    
    6
     h7
    ���z
    WARNING: server returned more data than it should - server is vulnerable!
    
    8.4.2014 11:35 sj
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ten web s názvem bugu v sobě (první linkovaný) ve skutečnosti nepodává příliš relevantní informace a přijde mi jako klasický scare korporátní web ještě navíc s reklamou (s naším bezpečnostním řešením by se tohle odhalilo).

    Mnohem lepší informace jsou na http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
    8.4.2014 11:52 dustin | skóre: 62 | blog: dustin
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Díky
    8.4.2014 13:09 R
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Z toho vyplyva, ze to odhalenie klucov, hesiel, dokumentov (a pod.) je nezmysel.
    8.4.2014 14:24 Mike
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Podle linkovaného webu:
    Can attacker access only 64k of the memory?

    There is no total of 64 kilobytes limitation to the attack, that limit applies only to a single heartbeat. Attacker can either keep reconnecting or during an active TLS connection keep requesting arbitrary number of 64 kilobyte chunks of memory content until enough secrets are revealed.
    A tvrdí že se jim povedlo získat kompletní privátní klíče. Já bych se tím, že vámi odkazovaný člověk nepřišel na to jak, tedy neutěšoval. Navíc ten bug nezávisle objevili nejen ti inženýři z Codenomiconu, ale i člověk z Googlu, a na tom zveřejnění pokud vím kooperovali. Takže bych tomu celkem věřil. A hlavně platí: Better safe than sorry.
    Jardík avatar 8.4.2014 14:40 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    typedef struct ssl3_record_st
        {
            int type;               /* type of record */
            unsigned int length;    /* How many bytes available */
            unsigned int off;       /* read/write offset into 'buf' */
            unsigned char *data;    /* pointer to the record data */
            unsigned char *input;   /* where the decode bytes are */
            unsigned char *comp;    /* only used with decompression - malloc()ed */
            unsigned long epoch;    /* epoch number, needed by DTLS1 */
            unsigned char seq_num[8]; /* sequence number, needed by DTLS1 */
        } SSL3_RECORD;
    
    No a už víme, proč je OpenSSL šmejďárna. Neumí používat správne datové typy.
    Věřím v jednoho Boha.
    8.4.2014 15:14 chrono
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Predpokladám, že veľkosť tých dát (a teda aj poloha) sa zmestí do unsigned int na akejkoľvek podporovanej platforme.
    Jardík avatar 8.4.2014 15:40 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Na nějakých platformách málo, na některých hodně. Když vidím unsigned int k použití indexu, místo size_t (nebo pokud je tedy velikost známá, tak některého uint_leastN_t/uint_fastN_t typu), tak je to pro mě znamení "můj kód umí čarovat"; na platformě, kde SIZE_MAX je 65535 (minimální požadavek standardu) a UINT_MAX je 651641451516522826412515251624621655216526, tak dokáží nějakým záhadným způsobem indexovat objekt větší, než který lze alokovat. Nebo naopak, na platformě, kde SIZE_MAX je 614616216246264926123155152152515215825 a UINT_MAX je 65535 (minimum zaručené standardem), tak zase říkají "můj kód je hloupej a tak umí pracovat jen s malými objekty, přestože lze alokovat objekty o několik řádů větší). Pokud by však použili správně třeba nějaký typ uint_least16_t, tak mi to řekne "šetříme místem ve struktuře, protože víme, že tento objekt nikdy nebude větší než UINT_LEAST16_MAX. Ale když zase použijou uint_least32_t, tak mi zase lžou, protože SIZE_MAX a sizeof(size_t) může být menší. Jediné správné řešení v tomto případě je něco jako least_type<size_t, SIZE_MAX, uint_least32_t>
    Věřím v jednoho Boha.
    Jendа avatar 8.4.2014 16:11 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jak se správně řeší seekování („dej mi předchozí bajt“), když size_t je jenom kladné?
    8.4.2014 16:15 kralyk z abclinuxu | skóre: 29 | blog:
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    off_t
    8.4.2014 16:23 kralyk z abclinuxu | skóre: 29 | blog:
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Aha, počkat, ten není standardní. Takže intmax_t (C99).

    Jinak skutečně se ten ssl3 record nevejde do 64kB? A dále taky je možné, že velikost intu kontroluje build systém.
    8.4.2014 16:17 Jose
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    seekovani zpetne je preci smejdarna :D
    8.4.2014 16:16 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tak například ze serverů Yahoo lze přes heartbleed jednoduše dolovat uživatelská jména a hesla v plaintextu (!!!), viz Tweet: https://twitter.com/markloman/status/453502888447586304

    Stále ještě to neopravili!

    Otestovat vaše servery lze například tímto jednoduchým Python skriptem: https://gist.githubusercontent.com/takeshixx/10107280/raw/8052d8479ad0c6150464748d639b0f5e877e8c37/hb-test.py
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    8.4.2014 16:48 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Btw. upozorňuji že pod postižené Yahoo servery spadá i třeba Flickr, to jen kdyby si někdo říkal, že jeho se to netýká, protože Yahoo nepoužívá :-)

    Upřímně se skoro divím, že nějaký troll ještě nenapsal bota, který by lidem na Yahoo náhodně měnil hesla, mazal fotky z Flickru, atp. Snad to opraví dříve než k něčemu takovému dojde...
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    Jardík avatar 8.4.2014 17:37 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Zlatá knihovna JardikSSL, která nic nepředpokládá a žádné takové bugy neobsahuje. SSL a TSL totiž považuje za nedůvěryhodné a proto každá API funkce knihovny JardikSSL vrací chybový kód JARDIK_SSL_SSL_IS_NOT_SECURE.
    Věřím v jednoho Boha.
    8.4.2014 19:15 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    8.4.2014 19:17 Andrej | skóre: 9
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    lastpass.com vyzera byt fixnuty
    Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
    8.4.2014 19:21 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tak teď jistě... Nicméně, to už asi postiženým bude platný jak mrtvýmu zimník. :-D
    8.4.2014 19:27 Andrej | skóre: 9
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    ja len ze uz ho zase mozu pouzivat
    Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
    8.4.2014 20:41 martin
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    a rychle zmenit vsechna hesla ...
    9.4.2014 19:13 kralyk z abclinuxu | skóre: 29 | blog:
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tak na Yahoo sere pes, nicméně tohle taky potěší :-)))

    Do not sign in on Lastpass .com due to the OpenSSL bug #heartbleed All your passwords could get compromised.
    Na jejich blogu tvrdí, že tím uník dat uživatelů nastat nemohl.
    9.4.2014 19:27 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jo, čestný pionýrský... :-D
    8.4.2014 21:05 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Hezké, fakt to funguje, i na STARTTLS Postfixu. No takže jdu vypláznout těch patnáct stovek pro StartSSL za revokaci tří certifikátů... :-(
    Jardík avatar 8.4.2014 18:13 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Áááá a tady máme loginy z ábíčka ... a soukromý certifikát ... naštěstí nejsem zm*d a data nezveřejním ani nezneužiju, protože Jardík. Doporučím však záplatu, hodně rychle.
    Věřím v jednoho Boha.
    8.4.2014 18:23 Andrej | skóre: 9
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Server returned error, likely not vulnerable
    Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
    8.4.2014 18:55 rbc
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Postni sem neco pod jinym uctem, jestli nekecas ;)
    Jardík avatar 8.4.2014 20:07 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Né. Netuším, jak je na tom ábíčko. Zkoušení bugů a exploitů, to není nic pro mě. Navíc mi došlo, že ábíčko jede na javě a kdo ví, jak je to tam se SSL, třeba mají vlastní implementacu, co OpenSSL vůbec nepoužívá (třeba NSS či prostě java-impl).
    Věřím v jednoho Boha.
    Nicky726 avatar 8.4.2014 23:02 Nicky726 | skóre: 56 | blog: Nicky726
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nyní snad dobře.
    Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
    9.4.2014 08:33 Filip Jirsák
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    OpendJDK ani Oracle Java OpenSSL nepoužívá. Dnes je ale webovému serveru Abíčka předřazen Nginx, takže teoreticky tím postižené být může.
    8.4.2014 20:45 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jen tak mimochodem, když jsem si to před chvílí ověřoval, tak jsem zkusmo zkusil i seznam.cz a poprvé mi to prošlo, opakovaně už ne, ale i v tom prvním mám nějaké dvě cookie k přihlášení a ne moje (někoho s user-agent-em MSIE 8.0 :)).
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    Luboš Doležel (Doli) avatar 10.4.2014 18:54 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Na serveru Abc je ještě starší openssl, které nikdy postižené nebylo.
    little.owl avatar 9.4.2014 00:51 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tohle je velmi dobry test linuxovych distribuci a jejich odezvy na zavazna CVE.

    Dala by se dat dohromady nejaka tabulka, kdy byla chyba nalezena a reportovana, a kdy jednotlive distribuce uvolnily updaty s opravou?
    $ man rtfm
    9.4.2014 01:28 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Mno, nevím jestli to má nějakou vypovídací hodnotu, ale to nahoře odkazované upozornění na chybu má datum 7.4.2014 17:27:25 GMT. Skripty pro kontrolu Debianu mi našly nové aktualizace OpenSSL 8.4.2014 ve 3:11 CET (ráno kolem osmé jsem rozinstalovával verzi 1.0.1e-2+deb7u5, během dne se ještě objevila 1.0.1e-2+deb7u6), CentOS6 mi tou dobou ještě nic nového nehlásil. V 8:42 jsem doinstalovával opravu OpenSSL na první počítač s CentOS. Co se týče třetí mnou používané distribuce, tak průběh přípravy u Gentoo je vidět v jejich bugzille, na zrcadlech se to pro amd64 objevilo jako stabilní někdy mezi devátou a desátou ráno.
    little.owl avatar 9.4.2014 01:36 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    S tim CentOS to odpovida. Zajimala by me rychlost odezvy u Red Hat, nebot to je prave situace, kdy by se mel vyplacet placeny support RHELu.
    $ man rtfm
    9.4.2014 06:19 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Je takový problém napsat CVE-2014-0160 do redhatí Bugzilly?
    little.owl avatar 9.4.2014 11:48 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Je to odpoved i neni, bugzilla je jen jedna cast retezce. CentOS to mel oznameno drive nez jsem to mohl stahnout z mirroru.
    $ man rtfm
    9.4.2014 15:07 Miroslav Suchy
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Red Hat Enterprise Linux 6 mel vydanou erratu v 2014-04-08 05:04:43 CET.
    little.owl avatar 10.4.2014 00:04 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Coz je 2014-04-08 03:04:43 GMT a dosti dlouho po tom, co byl udelany rebuild.

    CentOS je o dosti pomalejsi.
    $ man rtfm
    10.4.2014 07:44 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jestli si chceš instalovat netestované patche, tak prosím. Ale v enterprise distribuci někdo musí nový build otestovat na základní funkčnost, na regrese, na kompatibilitu s reverzními závislostmi, na bezproblémovost aktualizace z repozitářů a ověřit všechny podporované platformy. Nakonec se balík rozdistribuuje a až potom se vydává oznámení.
    little.owl avatar 10.4.2014 09:49 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    V urcitych pripadech muze byt mensi riziko nainstalovat docasne rychly fix, nez cekat na QA opravy pro diru jak vrata.
    $ man rtfm
    9.4.2014 16:37 ---- | skóre: 23 | blog: -
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Zkusil jsem se podívat na datum poslední změny na aktualizačních serverech:
    ftp://ftp.redhat.com/pub/redhat/linux/enterprise/6Server/en/os/SRPMS/
    07-Apr-2014 19:47 openssl-1.0.1e-16.el6_5.7.src.rpm
    
    http://mirror.centos.org/centos/6/updates/x86_64/Packages/
    08-Apr-2014 02:49 openssl-1.0.1e-16.el6_5.7.x86_64.rpm
    
    http://public-yum.oracle.com/repo/OracleLinux/OL6/
    08-Apr-2014 03:02 openssl-1.0.1e-16.el6_5.7.x86_64.rpm
    
    Můžete se kouknout i na další distribuce a jejich oficiální repozitáře.
    Jardík avatar 9.4.2014 15:24 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Minimálně v Arch Linuxu a Debianu to bylo rychle.
    Věřím v jednoho Boha.
    9.4.2014 17:06 pta
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Slackware opraveny balicek v 2014-04-08 08:05:22 -0700 (PDT) ;)
    Zajimava je reakce vyvojare z OpenBSD, ktery navrhuje upravit OpenSSH aby nepouzivalo OpenSSL.
    stativ avatar 9.4.2014 18:44 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    V Archu to bylo necelé tři hodiny po zveřejnění opravy ;-)
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    stativ avatar 9.4.2014 18:50 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Zato archlinux.org byl zranitelný asi až do včerejšího večera.
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    pavlix avatar 10.4.2014 09:10 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Kovářova kobyla.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    9.4.2014 01:19 Johny Mnemonic
    Rozbalit Rozbalit vše Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    Bezici instance jednoho naseho testovaciho serveru dokazala ciste nahodou logovat pokusy o Heartbleed utok. Nekdo to poprve zkousel uz 24. dubna - jelikoz se jedna o neverejne testovani, utok musel byt veden automaticky proti velkemu rozsahu adres (server ma prideleny 2 IP, utoky bylo mozne pozorovat na obou z nich).

    Detaily zde: http://www.seacat.mobi/blog/heartbleed
    9.4.2014 09:09 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    24. dubna? Wow, netušil jsem že na Ábíčko chodí i cestovatelé v čase ;-) Každopádně botnet který bude 24. dubna zkoušet heartbleed toho snad (doufejme) už moc děravého nenajde... i když možná jsem naivní optimista ;-)

    Nebo to bylo už 24. dubna minulého roku?

    Každopádně pokud NSA nemá díky heartbleed už dlouhou dobu soukromé klíče celého Internetu, tak jsou to lamy :-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    9.4.2014 09:26 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    Kdyby jsi se podíval na ten výpis logů, věděl bys, že se jen tady upsal ;-)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    9.4.2014 10:37 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    Vždyť já vím, četl jsem to :-) Ale sranda musí být ;-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    9.4.2014 09:44 fish | skóre: 22
    Rozbalit Rozbalit vše Re: Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    Jak z toho logu vyplyva, ze to byl pokus o heartbleed a ne obycejny portscan?
    9.4.2014 10:18 Johny Mnemonic
    Rozbalit Rozbalit vše Re: Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    Ano, jiste - je to 24 brezna :-)

    Samozrejme, ze nevim, co bylo obsahem toho pristupu -- nicmene tento error se zacal objevovat prave od 24 brezna, ackoliv tato instance bezi jiz minimalne od unora. Muze to byt samozrejme nahoda, nahoda je, ze to tuhle vec vubec loguje.
    9.4.2014 14:12 Sid
    Rozbalit Rozbalit vše Re: Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    Na to ze to vobec neviete podlozit tak by som ocakaval, ze namiesto bold fontu a textu "Well, we actually find out that SeaCat server logs these attempts to its log file, see bellow." zdoraznite aj moznost cislo 2, ze sa moze jednat o nahodu.
    9.4.2014 16:42 Johny Mnemonic
    Rozbalit Rozbalit vše Re: Logy ukazuji, ze nekdo tento utok zkousel uz 24. dubna
    No, muzu to autorovi blogu predat, ale neco me rika, ze vim, co mi na to rekne.
    9.4.2014 07:56 x
    Rozbalit Rozbalit vše Ctete a zamyslete se....
    9.4.2014 10:39 Spike | skóre: 30 | blog: Communicator | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ve stable Debianu je nějaký nový build OpenSSL (OpenSSL 1.0.1e-2+deb7u6), ale v Changelogu o něm není zmínka. Co to?
    9.4.2014 11:05 fish | skóre: 22
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    u6 byla revize, ktera zajistila restart dotcenych sluzeb (v mem pripade to i tak zapomnelo na apache), protoze prechozi update pouze opravil openssl, ale restart musel spravce delat rucne. Nekde jsem zahledl, ze tuhle revizi vydal security team nezavisle na spravci balicku, proto se pravdepodobne neobjevila vsude kde by normalne mela.
    9.4.2014 13:04 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jo, díky moc. 300 serverů, které mi najednou nejdou aktualizovat automaticky kvůli pitomému dialogu.
    Quando omni flunkus moritati
    little.owl avatar 9.4.2014 13:15 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Interaktivni update deb?
    $ man rtfm
    9.4.2014 13:11 hermelin | skóre: 21
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Stejny problem - zrestartoval vsechny sluzby az na apache. Jinak s automatickymi updaty to funguje uplne bez problemu - mam cron-apt a normalne bez problemu automaticka instalace update a restart sluzeb (az na apache).
    Bystroushaak avatar 9.4.2014 13:08 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tak už je o tom i XKCD: http://xkcd.com/1353/
    9.4.2014 16:56 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    ale celkem slaby teda :)
    9.4.2014 17:57 Andrej | skóre: 9
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
    9.4.2014 18:47 pta
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ah, dalsi fanda. Z Promethea asi nikdy zadne hlaska nezlidovi. Mozna tak demence vyzkumniku ;)
    10.4.2014 11:22 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Technický dotaz, rekompiloval jsem openssl s parametrem -DOPENSSL_NO_HEARTBEATS, což se sice povedlo, nicméně i po restartu apache je server vulnerable. Všiml jsem si, že ta kompilace udělá binárku, man pages, ale žádnou knihovnu (teda kromě libcrypto.a a libssl.a). A takže apache dál vesele používá neaktualizovanou /usr/lib64/libssl.so.1.0.1c :(
    Co dělám blbě ?
    10.4.2014 11:36 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Děláš blbě to, že nepoužíváš balíčky vytvořený někým, kdo má tušení, co dělá.
    10.4.2014 11:42 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    No takové chytráky mám nejradši. Co třeba když pro mou kombinaci openssl a distra balíček není ?
    10.4.2014 11:49 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Co to? V tvém distru nemají zazáplatované openssl? No, tak to přestaň používat.
    little.owl avatar 10.4.2014 11:58 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Co mate za distribuci?
    $ man rtfm
    10.4.2014 12:11 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    CentOS 5 s aktualizacemi z axivo repa (čili mám openssl-1.0.1e)
    10.4.2014 12:17 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    K tomu se nedá nic, než zopakovat "tak to přestaň používat."
    pavlix avatar 10.4.2014 12:21 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nebo se naučit upravovat balíky, pokud je vážný důvod takový systém používat nebo je potřeba překlenout čas než se připraví nové řešení.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 12:28 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ostatně k RPM tady kdysi vyšel docela slušný seriál, pokud se nepletu.
    little.owl avatar 10.4.2014 12:37 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ano, zde. Dobre misto jak zacit.
    $ man rtfm
    10.4.2014 12:35 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Pokusím se obrazně shrnout užitečnost odpovědí na mou otázku na jednoduchém příkladu:

    Ptám se kolik mám dát soli do těsta na pizzu ?

    Odpovědi na sebe nenechávají dlouho čekat. První je nic nevař a jdi do pizzerie, další je proč si děláš těsto, kup si hotové těsto a pizzu si ozdob, další je proč si neobjednáš pizzu domů, další si jen postesknou, že pizza je hrozně nezdravé jídlo a vůbec by se neměla jíst. Vegani dodají, že nejzdravější je syrová zelenina.

    Já se neptám na to co mi radíte za distro používat, neptám se co si myslíte o distribucích co nezáplatují openssl. Já se ptám co dělám blbě při kompilaci openssl. BTW: rekompilaci openssl radí všem, kteří z nějakého důvodu nemohou aktualizovat z repozitářů, čili nevidím v tom žádný problém, mělo by to jít. Samozřejmě nemám zdrojový balíček a nevím s jakými parametry to bylo kompilováno (něco sice vyčtu ze samotné binárky openssl, ale asi to nestačí). Všude píšou, že je třeba překompilovat s vypnutým heartbeatem a restartovat všechny služby využívající ssl a to se mi nepodařilo.
    10.4.2014 12:43 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Zkompilovals to akorát jako statickou knihovnu. Pokud ti to není jasné, tak se prostě řiď předchozí radou, nic nekompiluj a upgraduj na podporovanou verzi distribuce. Protože to stejně nejseš schopen udržovat v bezpečném stavu, a evidentně toho není schopen ani ten maník, co vytvořil to zjevně mrtvé alternativní repo.
    little.owl avatar 10.4.2014 12:45 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jaktoze nemate zdrojovy balicky? Apache muze byt zkompilovan tak, ze openssl je staticky linkovana. Jak rekompilovat balicky u CentOS najdete zde.
    $ man rtfm
    little.owl avatar 10.4.2014 12:50 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    OK, minuta hledani a nejaky specificky navod mate zde.
    $ man rtfm
    10.4.2014 12:58 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Zdrojové balíčky z AXIVA jsem prostě nenašel. Proto jsem to zkoušel zkompilovat ve stávající verzi s vypnutým heartbeatem.
    pavlix avatar 10.4.2014 13:02 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Pokud AXIVA distribuuje i GPL software, tak to zavání porušením licence. Nicméně ať je to tak nebo ne, používat binární balíky open source softwaru od někoho, kdo neposkytuje zdrojové kódy... kdo chce kam...
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 13:05 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Řekněme, že jsem nenašel na netu žádný jiný návod jak aktualizovat openssl, php atp na novější verzi. A dost možná ani žádný jiný není, pokud nemůžu hned upgradovat.
    10.4.2014 13:09 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Takže si to shrňme - máš dávno nepodporovaný systém, do kterého jsi narval jakési obskurní "aktualizované" balíčky z mrtvého repozitáře provozovaného bůhvíkým, který navíc ani neposkytuje zdrojáky, kompilovat neumíš, s RPM taky neumíš, a myslíš si, že je výborný nápad tam tu děravou mrtvolu nechat, jůůůů? No, tady je asi jakýkoliv další komentář zbytečný.
    little.owl avatar 10.4.2014 13:14 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    CentOS 5 je stale podporovany.
    $ man rtfm
    10.4.2014 13:18 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Asi ne tím obskurním repositářem, který tam tazatel má. Jinak totiž nevím, co tady řeší:

    https://www.axivo.com/threads/openssl-patch.255/#post-1042
    10.4.2014 13:29 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    https://www.axivo.com/threads/centos-5-with-openssl-1-0-1.236/#post-1043
    10.4.2014 13:32 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ano, gratuluji. "Aktualizoval" jsi na výtečný repozitář, který se na podporu distribuce vysral dřív, než její výrobce. Geniální tah. Tebe bych chtěl mít za admina. :-) :-D :-)
    little.owl avatar 10.4.2014 14:07 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Zkuste je pozadat o zdrojovy balicek (SRPMS) k verzi co mate, to by vam mohlo hodne ulehcit zivot.
    $ man rtfm
    10.4.2014 14:19 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Snažím se :) Každopádně děkuji, vaše příspěvky byly releventní.
    10.4.2014 13:26 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tys asi vůbec nic nepochopil. Snažím tu děravou mrtvolu jak tomu říkáš ty, oživit nebo záplatovat. Nicméně CentOS 5 není žádný nepodporovaný systém, proč by měl být ? Viděls ho vůbec někdy ? Nebo jen teoretizuješ ? AXIVO není mrtvý repozitář, atd... Prostě tady kecáš kraviny a víš o tom howno. Určitě si netroufnu říct, že jsem mistr v kompilacích nebo v používání RPM, ale občas něco zkompiluju a občas použiju i RPMko. A tvoje hloupé rady, že mám použít snad yum update a jsem spasen si strč někam. Řeším situaci se kterou si nevím rady (ty evidentně taky ne) a hledám podněty co dál. Aktualizace OS v dohledné době nepřipadá v úvahu. Čili to není taková sranda jako udělat update doma na nějakém sranda samba linuxu pro jednoho uživatele
    10.4.2014 13:30 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Už jsem ti psal výš, proč tak kurwa rveš balíčky z repositáře, které na tvůj CentOS 5 evidentně serou jak na placatej šutr?

    https://www.axivo.com/threads/openssl-patch.255/#post-1042
    10.4.2014 13:33 chachar87 | skóre: 4 | blog: chacharovo
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    V dobe kdy tam rval ten balicek na CentOS 5 evidentne nesrali. Jak poznas bez kristalove koule, ze nejaky repozitar se v budoucnu vysere na dosud podporovany OS?
    Kdyz nejde o zivot, tak jde o hovno...
    10.4.2014 13:35 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    No, já tam hlavně nebudu vůbec balíčky z nějakého takového repozitáře cpát, protože fakt netuším, proč bych takovou pitomost vůbec dělal. Takže tento "problém" v budoucnu nebudu muset řešit.
    10.4.2014 13:39 chachar87 | skóre: 4 | blog: chacharovo
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    rekl bych ze on uz taky ne :D Nicmene ted ten problem ma a potrebuje ho vyresit. Jak pise neni to "samba server linux", kde neni problem update na CentOS 6.

    Chapu vase(little.owl, pavlix, ty) rozhorceni, ale reseni typu vrat se v case a zmen sve rozhodnuti neni evidentne mozne.
    Kdyz nejde o zivot, tak jde o hovno...
    pavlix avatar 10.4.2014 13:40 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nejsem rozhořčen tím, že někdo udělal chybu, ale tím, že se tváří jako bůh, když chce pomoct s řešením následků.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    pavlix avatar 10.4.2014 13:42 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nehledě na to, že jak já, tak little.owl jsme každý do diskuze napsali nějakou radu, jak situaci řešit.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 13:51 chachar87 | skóre: 4 | blog: chacharovo
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    No prvotni dotaz mi pripada jako ze se pta nekdo kdo vi ze nekde dela chybu ale nevi kde (Buh by to nepriznal).

    Zostril sve reakce po odpovedich typu: nemel jsi to tam vubec davat.
    Kdyz nejde o zivot, tak jde o hovno...
    little.owl avatar 10.4.2014 13:42 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nemam pocit, ze bych se do nej navazel.
    $ man rtfm
    10.4.2014 13:48 chachar87 | skóre: 4 | blog: chacharovo
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nemam pocit, ze bych to tvrdil.

    Popravde i kdyz tvoreni balicku nerozumim, tak tvoje odpovedi mi prijdou nejvic nabizejici reseni.
    Kdyz nejde o zivot, tak jde o hovno...
    pavlix avatar 10.4.2014 13:52 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Já si myslím, že nejlepší řešení získáš, když odpovědi zkombinuješ, tzn. když použiješ informace o tvorbě balíčků, balíček z aktuálnějšího systému a původní balíček z CentOS. Pokud tedy někdo nemá balíček pro CentOS 5 už připravený.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 13:40 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    A jak teda nainstaluješ SW, který vyžaduje novější vezi openssl než která je k dispozici v tvém distru ? Moc se těším na odpověď. I když vlastně netěším, určitě to budou pořád stejné kecy a nic užitečného.
    pavlix avatar 10.4.2014 13:46 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Mezi lidmi, co se v linuxu považují za něco více než začátečníky, je zvykem volit distribuci mimo jiné i podle účelu použití. Do toho účelu patří i to, jaké aplikace se chystáš provozovat. Rovněž je docela dobrým zvykem netrvat na dřívějších rozhodutích, pokud se v novém světle ukazují jako nevhodná. Vzhledem k tomu, že řešíš problém, který je pouhým důsledkem tvých předchozích rozhodnutí, nevidím na prohlášení Lol Phirae, že by se tomu problému vyhnul, nic špatného.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 14:00 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Myslím, že se motáme pořád dokola, kromě Lol Phirae, který nic neporadil a je po bitvě generálem (vždycky všechno ví dopředu a nikdy neudělá špatné rozhodnutí). Já jsem tu aktualizaci nedělal včera nebo před týdnem, dělal jsem jí v době, kdy byla daná verze openssl považována za bezpečnou. Přejít na CentOS 6 nebylo možné a nějak pokoutně kompilovat apache, openssl a bůhvícoještě mi nepřipadalo rozumné. Proto jsem se poohlížel, jestli nějaký dobrák neudělal RPMka s novější verzí. Udělal. AXIVO. A podle vás je nerozumné používat jiné repozitáře (EPEL, ELREPO atd.)? Pořád nějak nechápu v čem jsem udělal špatné rozhodnutí ? Už mě to tu nebaví pořád dookola popisovat. Stejně se dočkám akorát urážek a ponížení, že jsem blbej, nic neumím, udělal jsem špatné rozhodnutí atp...
    pavlix avatar 10.4.2014 14:17 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Já jsem tu aktualizaci nedělal včera nebo před týdnem, dělal jsem jí v době, kdy byla daná verze openssl považována za bezpečnou.
    Já taky netvrdím, že byly následky od začátku zřejmé.
    Přejít na CentOS 6 nebylo možné
    Tohle nepodložené plácání do větru si dovolím ignorovat.
    A podle vás je nerozumné používat jiné repozitáře
    Záleží na co a záleží které.
    EPEL
    EPEL je fedoří projekt, který rozšiřuje množinu dostupných balíků a neaktualizuje již dostupné balíky. Považuju za rozumné ho použít, pokud chci získat nějaké další jinak nedostupné balíky. Věřím, že nedostupnost SRPM u něj nenastane.
    ELREPO
    Neznám, stejně jako neznám AXIVA, a pravděpodobně bych ho nepoužil.
    Pořád nějak nechápu v čem jsem udělal špatné rozhodnutí?
    Pokud chceš, můžeme tomu prostě říkat rozhodnutí se špatnými důsledky. Z technického pohledu je to úplně stejné, ale třeba se díky tomu budeš cítit lépe.
    Stejně se dočkám akorát urážek a ponížení, že jsem blbej, nic neumím, udělal jsem špatné rozhodnutí atp...
    Urážky od Lol Phirae mi přijdou nezajímavé. Nicméně urážky od tebe jakožto tazatele je něco, na co jsem vcelku alergický stejně jako mnoho dalších lidí, kteří se musejí běžně vypořádat s nadávkami od těch, kterým nějakým způsobem pomáhají. Je to opravdu denní chleba, tak doufám, že ti to pomůže moje reakce pochopit.
    jsem blbej
    Něco se ti nepovedlo a chováš se jako bůh, kterému ostatní nesahají po kotníky. Je to opravdu směšné.
    nic neumím
    Minimálně netušíš spoustu základních věcí ohledně údržby distribuce a balíčků. Nejsi jediný, kdo se takové věci zjevně učí na produkčním systému, ale to ještě neznamená, že tě za to budou obdivovat ;).
    udělal jsem špatné rozhodnutí atp...
    Ano, to je můj názor. Nicméně pro účely diskuze nemám problém to nazývat rozhodnutím se špatnými důsledky, jak už jsem psal výše.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 14:22 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ve kterém příspěvku se tvářím jako Bůh ? Ve kterém příspěvku urážím někoho, kdo se mi snaží pomoct ?
    pavlix avatar 10.4.2014 14:38 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Podle mě už od komentáře číslo 83.

    Chápu to tak, že tvé výpady vůči Lol Phirae se nepočítají, protože on se pomoct nesnažil? Já si myslím, že jeho návrh nechat to na lidech, co to s balíčky umí byl velmi relevantní alternativou k tomu, co psal little.owl nebo já. I to je jistá forma pomoci ;). Myslím si, že výpady ohledně jeho neznalosti by byly fér leda od někoho, kdo ví, která bije. Musím říct, že chápu přesně, jak ke svým závěrům došel a až na některé faktické detaily nejsme výjimečně ve sporu.

    Člověk, kterému by se skutečně hodila pomoc s technickým problémem by si měl v první řadě hledět toho, aby dodal relevantní informace včetně přesného popisu postupu, který vyzkoušel a důvodů, proč tak udělal, a neřešit jak urazit ty, kteří mu v diskuzi nepřijdou užiteční.

    Pokud nemáš žádné další výhrady k tomu, co jsem tu napsal, budu se těšit na popis tvého úspěšného postupu k řešení. Pokud máš pocit, že provoz aktuálního openssl na centos 5 má nějaký smysl, tak bych uvažoval i o blogpostu. Můj osobní pohled je, že to smysl nemá, ale v tomto ohledu zjevně nejsme ve shodě, třeba tím pár lidí potěšíš ;).
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 15:27 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    little.owl se do mě ani jednou nenavezl, že jsem debil, že používám starou distribuci nebo že neumím kompilovat atp. Zeptal se mě na pár věcí, které mu z mých příspěvků nebyly jasné a odpověděl stručně a jasně bez invektiv a podle toho jsem se k němu také s úctou choval.
    Takový Lol Phirae k tomu přistoupil upe jinak a já jsem zvyklý jednak s každým tak, jak on jedná se mnou. Čili jestli to vypadalo, že nadávám někomu, kdo se mi snaží pomoct, tak to je špatně, jen jsem si nechtěl nechat nadávat člověkem, který je buď "divný" nebo dělá unáhlené závěry nebo tak něco, od něj bych si ani radit nenechal, stačilo mi pár příspěvků (možná jen dnes neměl svůj den, možná jsem ho neměl já).
    Čili smysluplných rad a nakopnutí jsem se nebránil, ale hlouposti typu vrať se do minulosti a neinstaluj něco mi příjdou jako ztráta času a nijak řešení situace nepomáhají, ba co víc, ani do budoucna se z toho člověk nemůže poučit, protože já třeba před rokem nevěděl, že v openssl 1.0.1 je heartbeat bug, stejně jako nevím jaký bug je tam ve verzi g, který objeví za tři měsíce. Prostě jsem potřeboval jedničkové openssl na CentOS 5, toť vše. A i když jsem admin, tak o některých věcech prostě nerozhoduji, čili vybírat si většinou nemůžu a musím instalovat co je třeba na OS jaký je atp....

    Nakonec se mi povedlo zkompilovat poslední verzi 1.0.1g v CentOS 5 jako rpm balíčky včetně libraries. Díky (myslím little.owl) za nakopnutí, zbytek byl jen hloupý flame.
    10.4.2014 15:34 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Prostě jsem potřeboval jedničkové openssl na CentOS 5, toť vše... zbytek byl jen hloupý flame.
    Ano, máš pravdu, jsi prostě nepoučitelný...
    pavlix avatar 10.4.2014 16:04 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tohle už znám nazpaměť třeba z poradny abclinuxu. Tazatel se cítí dotčený, tak se začne chovat jako pitomec. Přesto mu někdo v diskuzi pomůže. Tazatel toho dotyčného pak zneužije jako argument proti tomu, kdo ho něčím popudil. Pokud tě můžu o něco poprosit, nedělej to. Pochybuju, že se tím little.owl nebo komukoli jinému nějak zavděčíš.
    možná jen dnes neměl svůj den, možná jsem ho neměl já
    Tož na tom úplně nesejde. Mnoho lidí prostě trpí utkvělou představou, že když do diskuze položí dotaz, tak mají snad nějaký nárok na to, aby jim v reakci chodily jen odpovědi, které se jim budou líbit. Nejenže tahle diskuze není vůbec v poradně, ale ani v místní nebo jiné poradně se člověk nevyhne reakcím, které se s jeho představami jaksi míjejí.

    Původně položenému dotazu chyběla mnohá důležitá fakta jako třeba zdůvodnění nasazení či ponechání CentOS 5, použití potenciálně pochybných repozitářů, detailní informace o neúspěšném pokusu o řešení včetně zdůvodnění jeho kroků. Když to vezmu kolem a kolem, tak ten dotaz byl vlastně dost blbě položený. Třeba Stack Exchange má na tohle docela pěkný systém, kde se dotazy hodnotí, komentují a průběžně doplňují, stejně tak jako odpovědi, v běžné diskuzi ale takové nástroje nemáš.

    Nehledě na to, že patří k základním znalostem správy jakýchkoli linuxových systémů, že software se do produkčních systémů neinstaluje pomocí make install a především proč to tak je. To je ovšem i hlavním sdělením little.owl, pokud nepočítám odkazy na návody, které ovšem není problém najít internetovým vyhledávačem.
    ani do budoucna se z toho člověk nemůže poučit
    Nesmysl. Rozumný člověk po takovéto zkušenosti bude přemýšlet o tom, na co může při své práci spoléhat a na co nikoliv. Je z toho jasně vidět v čem spočívá jedna z hlavních výhod open source a jak se dá vcelku spolehlivě zabít. To, o čem teoretizují lidé v dizkuzích tady člověk pocítí na vlastní kůži.
    Nakonec se mi povedlo zkompilovat poslední verzi 1.0.1g v CentOS 5 jako rpm balíčky včetně libraries. Díky (myslím little.owl) za nakopnutí
    Jestli ti to opravdu přijde tak přínosné mít novou verzi openssl na CentOS 5, chystáš se zdrojový balík nebo konkrétní postup jeho vytvoření někde publikovat?
    zbytek byl jen hloupý flame.
    I na ten flame musejí být alespoň dva ;).
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    Bystroushaak avatar 11.4.2014 01:52 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    10.4.2014 14:06 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    No, na produkční mašině teda určitě ne tak, že něco tak absolutně kritického, jako je openssl, nahradím v celém systému balíčkem z bůhvíjakého repozitáře, který evidentně nemá žádnou pevně stanovenou dobu podpory. Takže holt se smířím s tím, že ten SW tam nebude, nebo systém upgradnu, nebo pokud budu už hodně zoufalý, tak to holt s novějším openssl slinkuju staticky a udělám si z toho vlastní balíček.
    Grunt avatar 12.4.2014 18:55 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jen tak pro zajímavost: Podařilo se problém vyřešit?
    Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
    Grunt avatar 12.4.2014 20:20 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    A ještě jedna zajímavost: Jde o stránky H-COMPu?
    Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
    pavlix avatar 10.4.2014 13:30 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Aneb když se z bezradného začátečníka vyklube agresivní pitomec.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    pavlix avatar 10.4.2014 13:09 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Pokud někdo své systémy spravuje zvláště amatérským způsobem, tak by si pak měl nést následky sám.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    little.owl avatar 10.4.2014 13:11 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Muzete vylistovat jake balicky z AXIVA pouzivate?

    Prijde mi, ze openssl tam nemaji ....
    $ man rtfm
    10.4.2014 13:17 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    dají se stáhnout třeba takto:
    yum --enablerepo=axivo install openssl -y --downloadonly --downloaddir=/tmp
    -rw-r--r-- 1 root root 1524911 Jan 30 12:16 openssl-0.9.8e-27.el5_10.1.i686.rpm
    -rw-r--r-- 1 root root 1525512 Jan 30 12:16 openssl-0.9.8e-27.el5_10.1.x86_64.rpm
    -rw-r--r-- 1 root root 650301 Apr 26 2013 openssl-1.0.1e-1.el5.x86_64.rpm
    -rw-r--r-- 1 root root 1308320 Apr 26 2013 openssl-devel-1.0.1e-1.el5.x86_64.rpm
    -rw-r--r-- 1 root root 3618362 Apr 26 2013 openssl-libs-1.0.1e-1.el5.x86_64.rpm
    little.owl avatar 10.4.2014 13:39 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    OK, Lol ma asi pravdu, vase repository uz nejspise nepodporuje CentOS 5 a pritom jeji puvodni balicky pouzivaji novejsi verzi openssl. Drzte se orientacne zmineneho postupu v odkazech nahore pro CentOS 6, s tim, ze budete muset ohackovat spec file pro CentOS 5.
    $ man rtfm
    pavlix avatar 10.4.2014 12:53 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Mám podezření, že jsi spíš shrnul užitečnost všech svých dosavadních příspěvků. Pokud bys skutečně prováděl rekompilaci balíku obsahujícího knihovnu openssl tak jak se má, tak by ti jen těžko mohl vzniknout balík, který tu knihovnu neobsahuje. Jedním z posledních kroků buildu RPM balíku je kontrola seznamu souborů. Pokud by i přesto nastaly potíže, bez podrobného popisu toho, co jsi udělal, ti nikdo nemůže pomoct.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 13:03 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nevím nejsem neomylný, ale troufám si říct, že jsem nikde nepsal o rekompilaci žádného balíčku, píšu o rekompilaci openssl (myšleno ./configure; make; make install)
    10.4.2014 13:05 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ano. Takhle to nikdo příčetný nedělá, proč, to by ses dozvěděl, kdyby sis přečetl aspoň úvod do toho seriálu o RPM linkovaného výše. Proboha, vykašli se na to a nech balíčkování na lidech, co tomu rozumějí.
    pavlix avatar 10.4.2014 13:13 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Rekompilace openssl v distribuci je obecně používaný termín pro opětovnou kompilaci stejným postupem jako byla provedena původní kompilace pro danou distribuci. To, co jsi provedl, žádná rekompilace není, nýbrž je to nová kompilace způsobem, který je vhodný pouze pro experimentální vývojářské buildy. Odkazuješ se tedy na doporučení, kterého ses ve skutečnosti vůbec nedržel.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 13:19 tlamik | skóre: 21 | Karvina
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jak už jsem psal, jelikož jsem nenašel SRPM od axiva, tak jsem zkusil zkompilovat přímo openssl (a ne že by to nešlo) v té samé verzi, kterou mám z axiva.
    pavlix avatar 10.4.2014 13:32 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Vzhledem k tomu, že se jedná o aktuální verze, tak by asi nebyl problém najít SRPM pro nějakou aktuálnější distribuci a SRPM pro genuine openssl z CentOS 5 a pokusit se je zkombinovat do funkčního SRPM aktuálního OpenSSL pro CentOS 5. Ale stále jsem toho názoru, že je to řešení problému, který vznikl dřívějším špatným rozhodnutím.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    Jendа avatar 10.4.2014 12:56 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Pokusím se obrazně shrnout užitečnost odpovědí na mou otázku na jednoduchém příkladu:
    Ptám se, jak nakreslit 7 navzájem kolmých červených čar ve tvaru kotěte zeleným a průhledným inkoustem. Odpovědi na sebe nenechávají dlouho čekat. První je, že si máš vzít červený inkoust. Další, proč kreslit průhlednou čáru, když pak nebude vidět. Další, že nemůže být tolik čar na sebe navzájem kolmých. Absolventi matfyzu dodají něco o velikosti ortogonální báze lineárního prostoru.

    Já se neptám na to co mi radíte kreslit, neptám se, jakou barvu inkoustu byste mi na kreslení červených čar doporučili. Já se ptám, co dělám blbě při kreslení červených čar zeleným inkoustem.
    10.4.2014 15:47 kralyk z abclinuxu | skóre: 29 | blog:
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Absolventi matfyzu dodají něco o velikosti ortogonální báze lineárního prostoru.
    :-D Touché. Jinak to video je geniální...
    Jendа avatar 10.4.2014 22:09 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    :-D Touché.
    Psáno během vymýšlení úkolu z lingebry :-)
    pavlix avatar 10.4.2014 16:12 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Víš co se mi na tom videu nelíbí?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    Jendа avatar 10.4.2014 21:46 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    • Že jsou v něm vypálené titulky?
    • Že to přesně takhle zažíváš?
    pavlix avatar 10.4.2014 21:58 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Druhá odpověď je správně. Teda ne že bych to zažil někdy v poslední době, ale některá jednání z dřívějška mi to velmi silně připomíná. Včetně té manipulace, skrytých urážek, předpokladu správnosti u zjevných nesmyslů na základě jejich původce...
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    11.4.2014 09:54 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    To protože jsi určitě byl příliš konzervativní a nepřicházel s neotřelými progresivními řešeními.
    Quando omni flunkus moritati
    Bystroushaak avatar 11.4.2014 01:57 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Imho se nechal moc omezit. Kdyby opravdu chtěl, mohl to celé nakreslit průhledným inkoustem, nebo z toho udělat jen 2D pohled do dimenzí či prostorů, kde na sebe kolmé budou, či si vzít na pomoc věci jako gravitační čočky. Barvy se daly vyřešit použitím speciálního papíru, či dalších vrstev, které změní chemické vlastnosti inkoustu. Ale chápu, že v tom pointa nebyla.
    pavlix avatar 10.4.2014 12:02 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    No takové chytráky mám nejradši.
    Zvlášť když mají zrovna pravdu, že :).
    Co třeba když pro mou kombinaci openssl a distra balíček není?
    Taky se těším na jméno distribuce, která nechala openssl nezáplatované.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 16:46 pavel
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    pavlix avatar 10.4.2014 17:15 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    V kontextu diskuze je asi vcelku zřejmé, že jsem měl namysli nezáplatované openssl trpící tou bezpečnostní chybou.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    pavlix avatar 10.4.2014 12:19 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    10.4.2014 12:22 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    OpenSSL využívají Windows od společnosti Microsoft
    Hle, zase jsem se dozvěděl něco nového... N@ha nikdy nezklame! :-D :-) :-D
    egg avatar 10.4.2014 18:35 egg | skóre: 20 | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    ČTĚTE TAKÉ: Zakáží lékaři počítače? Wi-fi signál zabíjel a Evropou se šíří panika
    WTF did I just read?... :-)
    10.4.2014 18:41 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    NTV! :-D :-D :-D
    10.4.2014 22:08 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Náhodou to za přečtení stojí, dobře sem se pobavil :-D Něco jako zprávy rádia Jerevan ;-) Aneb Prásk vysvětluje hoax :-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    pavlix avatar 10.4.2014 22:21 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ale jo. Vždyť je to dokonalé rádio jerevan!
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    11.4.2014 00:25 kralyk z abclinuxu | skóre: 29 | blog:
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Hle, zase jsem se dozvěděl něco nového... N@ha nikdy nezklame! :-D :-) :-D
    No, alespoň nezkomolili tu informaci o ~2/3 postižených serverů. To na novinkách tuto informaci promptně přetransmutovali na "dvě třetiny uživatelů internetu" [1].
    Bystroushaak avatar 11.4.2014 02:01 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nefunguje ten útok oboustranně? Tedy když ho použije server, tak dostane kus paměti klienta?
    11.4.2014 02:07 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    https://github.com/Lekensteyn/pacemaker

    11.4.2014 09:42 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    No shodou okolností teď na Windows vyšla nějaká důležitá aktualizace a mám takový pocit, že se týkala šifrování. Že by si v Redmondu něco vypůjčili?
    Quando omni flunkus moritati
    11.4.2014 09:48 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Žádnou novou důležitou aktualizaci nevidím.
    11.4.2014 09:52 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Mně se kvůli tomu včera resetoval stroj - automaticky, pochopitelně zrovna když se mi to moc nehodilo.
    Quando omni flunkus moritati
    11.4.2014 08:12 David
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Ahoj, zeptam se blbe, ale je mozne nejak otestovat sve klice, jestli jsou bezpecne, jeste nez budu generovat nove?
    pavlix avatar 11.4.2014 08:28 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    To je opravdu blbý dotaz, vzhledem k tomu, že se objevená chyba vůbec netýká kvality klíčů.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    11.4.2014 08:48 vev
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Aha, takže čtení soukromého klíče nijak bezpečnost nenarušuje ... Jinak k předchozímu dotazu: těžko zjistit, které certifikáty byly kompromitované.
    Jendа avatar 11.4.2014 10:50 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    se objevená chyba vůbec netýká kvality klíčů → takže čtení soukromého klíče nijak bezpečnost nenarušuje
    Nevidím tuto implikaci.
    pavlix avatar 11.4.2014 12:25 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Aha, takže čtení soukromého klíče nijak bezpečnost nenarušuje
    Máš velmi neotřelé myšlenkové pochody.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    11.4.2014 10:33 David
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    V tom případě jsem to pochopil špatně. A to tak, že jsem pomocí "vadného" OpenSSL generoval tím pádem zranitelné klíče. Za hloupý dotaz se omlouvám:)
    pavlix avatar 11.4.2014 12:27 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Taková chyba byla před lety v OpenSSL v Debianu a týkala se mimojiné SSH klíčů.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    12.4.2014 10:59 David
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    jj, prave to jsem si vybavil.. v te dobe jsem musen klice pregenerovat a byl to docela vopruz :)
    Jendа avatar 11.4.2014 10:39 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Můžeš, v mé patičce je odkaz.
    11.4.2014 11:12 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Hezký :-)
    pavlix avatar 11.4.2014 12:28 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Dooost dobrý.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    11.4.2014 13:42 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Tak to jsem přesně čekal.

    Jestli někdo jako privátní klíč používáte kus vyhlášky 50/1978 zakódovaný do base64, tak si vygenerujte nový. ;-)
    Quando omni flunkus moritati
    Jardík avatar 11.4.2014 14:11 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Jardík likes <3
    Věřím v jednoho Boha.
    Grunt avatar 12.4.2014 18:57 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Moje klíče prej bezpečné nejsou :-(
    Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
    egg avatar 12.4.2014 19:03 egg | skóre: 20 | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Nevadí, vygeneruj nové a nezapomeň si je taky hned zkontrolovat.
    12.4.2014 19:45 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Se mi nepodařilo takové vytvořit a dělám na tom už od včerejška… :(
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    12.4.2014 19:55 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    12.4.2014 20:22 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL
    Я читал книгу «Судьба человека».
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    11.4.2014 10:43 w4rr10r
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v OpenSSL

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.