[ CVE-2014-0160 ] OPENSSL - Version imprimable +- N-PN White-Hat Project (https://dev.n-pn.fr/forum) +-- Forum : Informatique (https://dev.n-pn.fr/forum/forumdisplay.php?fid=12) +--- Forum : News (https://dev.n-pn.fr/forum/forumdisplay.php?fid=36) +--- Sujet : [ CVE-2014-0160 ] OPENSSL (/showthread.php?tid=3612) |
[ CVE-2014-0160 ] OPENSSL - notfound - 08-04-2014 Hello all, Bon nous sommes tous un peu au courant de ce bug sur openssl. Pour faire simple (et aussi parce que je suis incapable de rentrer dans les détails), cette faille peut-être utilisée pour aller chopper la mémoire du serveur et donc les clés privées. Pour plus de détails et précisions, voici quelques liens : Pour tester son serveur : http://filippo.io/Heartbleed Pour comprendre TLS : http://www.bortzmeyer.org/6520.html Pour s'informer sur le bug et se sécuriser : http://heartbleed.com/ Have a nice day RE: [ CVE-2014-0160 ] OPENSSL - Di0Sasm - 10-04-2014 La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Mes on parle d'accès qui pourrait être intéressant : Mail, site, banque etc.. Donc ça peut être très dangereux. Sachant que la Banque populaire et le crédit mutuel étaient vulnérables à la faille encore hier soir!!! Donc le patche est urgent. Sinon downgrader en 0.9.8 qui elle est OK il me semble. Merci notfound. RE: [ CVE-2014-0160 ] OPENSSL - notfound - 10-04-2014 (10-04-2014, 21h57)DI0Sasm a écrit : La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Pas forcément. Certains se sont amusés à boucler le programme et rediriger le tout dans un fichier. Ca finit par faire un bon gros dump :p (10-04-2014, 21h57)DI0Sasm a écrit : Donc le patche est urgent. Sinon downgrader en 0.9.8 qui elle est OK il me semble. En effet ! Citation :OpenSSL 0.9.8 branch is NOT vulnerable RE: [ CVE-2014-0160 ] OPENSSL - Di0Sasm - 10-04-2014 (10-04-2014, 22h00)notfound a écrit :(10-04-2014, 21h57)DI0Sasm a écrit : La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Oui c'est pas faux, surtout que c'est en clair en plus !! RE: [ CVE-2014-0160 ] OPENSSL - Jek0 - 15-04-2014 RE: [ CVE-2014-0160 ] OPENSSL - dvor4x - 18-04-2014 Un petit paper pour venir en complément de ce que vous avez posté (profitez-en, c'est en Français !): http://www.lexsi-leblog.fr/audit/sale-temps-pour-les-bibliotheques-ssl.html |