Re: Skript pro kontrolu napadení operací Windigo, test zranitelnosti OpenSSL

Adam Pribyl pribyl na lowlevel.cz
Pátek Duben 11 11:01:22 CEST 2014


On Thu, 10 Apr 2014, David Jež wrote:

>> Chyba v OpenSSL je podle mě zneužitelná jen prostřednictvím síťových
>> daemonů, kteří naslouchají na nějakém portu sítě, používají ke komunikaci
>> privátní klíče a certifikáty, a zároveň k manipulaci s nimi využívají služby
>> knihoven OpenSSL.

> Chyba je zneužitelná na cokoli, co může navázat TLS spojení (jakékoliv) 
> pomocí openssl knihovny zkompilovane s podorou heartbeatu. Nemusí to být 
> nutně jen síťový demon - jakékoliv tunely, wrapery pro tunely nebo 
> naopak wraper mezi tunelem a nějakým běžicím skriptem, sdílená knihovna 
> a tak dale a tak podobně.

Technicke detaily chyby do detailu nechapu, nicmene FAQ pro OpenVPN
https://community.openvpn.net/openvpn/wiki/heartbleed
pise:

Do TLS-auth keys protect my setup?

To some extent. You are strongly encouraged to use TLS-auth keys. In this 
scenario an attacker can not attack openvpn instances without the TLS-auth 
key. With a large user base, you should however consider the possibility 
of one (or more) of the openvpn instances being compromised. Such a 
compromised instance could attack other instances (including the server).

Adam Pribyl


Další informace o konferenci Linux