N-PN White-Hat Project
[ CVE-2014-0160 ] OPENSSL - Version imprimable

+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Informatique (https://dev.n-pn.fr/forum/forumdisplay.php?fid=12)
+--- Forum : News (https://dev.n-pn.fr/forum/forumdisplay.php?fid=36)
+--- Sujet : [ CVE-2014-0160 ] OPENSSL (/showthread.php?tid=3612)



[ CVE-2014-0160 ] OPENSSL - notfound - 08-04-2014

Hello all,

Bon nous sommes tous un peu au courant de ce bug sur openssl. Pour faire simple (et aussi parce que je suis incapable de rentrer dans les détails), cette faille peut-être utilisée pour aller chopper la mémoire du serveur et donc les clés privées.

Pour plus de détails et précisions, voici quelques liens :

Pour tester son serveur :
http://filippo.io/Heartbleed

Pour comprendre TLS :
http://www.bortzmeyer.org/6520.html

Pour s'informer sur le bug et se sécuriser :
http://heartbleed.com/


Have a nice day


RE: [ CVE-2014-0160 ] OPENSSL - Di0Sasm - 10-04-2014

La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Smile

Mes on parle d'accès qui pourrait être intéressant :

Mail, site, banque etc..

Donc ça peut être très dangereux.

Sachant que la Banque populaire et le crédit mutuel étaient vulnérables à la faille encore hier soir!!!

Donc le patche est urgent. Sinon downgrader en 0.9.8 qui elle est OK il me semble.

Merci notfound.


RE: [ CVE-2014-0160 ] OPENSSL - notfound - 10-04-2014

(10-04-2014, 21h57)DI0Sasm a écrit : La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Smile

Pas forcément. Certains se sont amusés à boucler le programme et rediriger le tout dans un fichier. Ca finit par faire un bon gros dump :p

(10-04-2014, 21h57)DI0Sasm a écrit : Donc le patche est urgent. Sinon downgrader en 0.9.8 qui elle est OK il me semble.

En effet !
Citation :OpenSSL 0.9.8 branch is NOT vulnerable



RE: [ CVE-2014-0160 ] OPENSSL - Di0Sasm - 10-04-2014

(10-04-2014, 22h00)notfound a écrit :
(10-04-2014, 21h57)DI0Sasm a écrit : La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Smile

Pas forcément. Certains se sont amusés à boucler le programme et rediriger le tout dans un fichier. Ca finit par faire un bon gros dump :p

Oui c'est pas faux, surtout que c'est en clair en plus !!


RE: [ CVE-2014-0160 ] OPENSSL - Jek0 - 15-04-2014




RE: [ CVE-2014-0160 ] OPENSSL - dvor4x - 18-04-2014

Un petit paper pour venir en complément de ce que vous avez posté (profitez-en, c'est en Français !):

http://www.lexsi-leblog.fr/audit/sale-temps-pour-les-bibliotheques-ssl.html