Re: Skript pro kontrolu napadení operací Windigo, test zranitelnosti OpenSSL
Adam Pribyl
pribyl na lowlevel.cz
Pátek Duben 11 11:01:22 CEST 2014
On Thu, 10 Apr 2014, David Jež wrote:
>> Chyba v OpenSSL je podle mě zneužitelná jen prostřednictvím síťových
>> daemonů, kteří naslouchají na nějakém portu sítě, používají ke komunikaci
>> privátní klíče a certifikáty, a zároveň k manipulaci s nimi využívají služby
>> knihoven OpenSSL.
> Chyba je zneužitelná na cokoli, co může navázat TLS spojení (jakékoliv)
> pomocí openssl knihovny zkompilovane s podorou heartbeatu. Nemusí to být
> nutně jen síťový demon - jakékoliv tunely, wrapery pro tunely nebo
> naopak wraper mezi tunelem a nějakým běžicím skriptem, sdílená knihovna
> a tak dale a tak podobně.
Technicke detaily chyby do detailu nechapu, nicmene FAQ pro OpenVPN
https://community.openvpn.net/openvpn/wiki/heartbleed
pise:
Do TLS-auth keys protect my setup?
To some extent. You are strongly encouraged to use TLS-auth keys. In this
scenario an attacker can not attack openvpn instances without the TLS-auth
key. With a large user base, you should however consider the possibility
of one (or more) of the openvpn instances being compromised. Such a
compromised instance could attack other instances (including the server).
Adam Pribyl
Další informace o konferenci Linux