Forum dla administratorów stron WWW i developerów

Witaj!

AdminZone.pl to miejsce w którym możesz dowiedzieć się jak szybko i skutecznie wypromować swoją stronę WWW, zachęcić użytkowników do wypowiadania się i aktywnego udziału w życiu takiej strony.
Dołącz do naszej społeczności aby w pełni korzystać z usług oferowanych przez AdminZone.pl
Zaloguj się
lub
Zarejestruj się
 
Awatar użytkownika
Macsch15
Administrator
Posty: 1968
Rejestracja: 10 sie 2012, 16:12
Lokalizacja: Polska
Kontaktowanie:

Krytyczna luka w OpenSSL - CVE-2014-0160

Autor tematu

08 kwie 2014, 16:03

Wczoraj, OpenSSL poinformowało o krytycznym będzie (który istnieje od 2 lat(!)).

brak tzw. bound checka w obsłudze heartbeatu TLS może powodować ujawnienie 64k pamięci serwera. Na błąd podatne są wersje od 1.0.1 do 1.0.1f oraz 1.0.2-beta wraz z 1.0.2-beta1. —Błąd odkrył Neel Mehta z Google Security.


Istnieje strona weryfikująca podatność strony: http://filippo.io/Heartbleed/

Aby rozwiązać problem ludzie zalecają rekompilację wersji 1.0.1g z flagą -DOPENSSL_NO_HEARTBEATS.
Oczywiście są też takie rozwiązania jak:
  • Wymiana certyfikatu SSL
  • Zmianę haseł administratora/użytkowników
  • Usunięcie tokenów sesji

Więcej informacji: http://heartbleed.com/


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 36 gości