[ CVE-2014-0160 ] OPENSSL
|
08-04-2014, 13h08
(Modification du message : 08-04-2014, 13h14 par notfound.)
Message : #1
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 271 Inscription : Sep 2012 |
[ CVE-2014-0160 ] OPENSSL
Hello all,
Bon nous sommes tous un peu au courant de ce bug sur openssl. Pour faire simple (et aussi parce que je suis incapable de rentrer dans les détails), cette faille peut-être utilisée pour aller chopper la mémoire du serveur et donc les clés privées. Pour plus de détails et précisions, voici quelques liens : Pour tester son serveur : http://filippo.io/Heartbleed Pour comprendre TLS : http://www.bortzmeyer.org/6520.html Pour s'informer sur le bug et se sécuriser : http://heartbleed.com/ Have a nice day |
|
10-04-2014, 21h57
Message : #2
|
|
Di0Sasm
Chimiste Messages : 922 Sujets : 56 Points: 92 Inscription : Aug 2011 |
RE: [ CVE-2014-0160 ] OPENSSL
La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon
Mes on parle d'accès qui pourrait être intéressant : Mail, site, banque etc.. Donc ça peut être très dangereux. Sachant que la Banque populaire et le crédit mutuel étaient vulnérables à la faille encore hier soir!!! Donc le patche est urgent. Sinon downgrader en 0.9.8 qui elle est OK il me semble. Merci notfound. |
|
10-04-2014, 22h00
Message : #3
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 271 Inscription : Sep 2012 |
RE: [ CVE-2014-0160 ] OPENSSL
(10-04-2014, 21h57)DI0Sasm a écrit : La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Pas forcément. Certains se sont amusés à boucler le programme et rediriger le tout dans un fichier. Ca finit par faire un bon gros dump :p (10-04-2014, 21h57)DI0Sasm a écrit : Donc le patche est urgent. Sinon downgrader en 0.9.8 qui elle est OK il me semble. En effet ! Citation :OpenSSL 0.9.8 branch is NOT vulnerable |
|
10-04-2014, 22h05
Message : #4
|
|
Di0Sasm
Chimiste Messages : 922 Sujets : 56 Points: 92 Inscription : Aug 2011 |
RE: [ CVE-2014-0160 ] OPENSSL
(10-04-2014, 22h00)notfound a écrit :(10-04-2014, 21h57)DI0Sasm a écrit : La faille peux récupérer 64 Ko de mémoire donc en gros il récupère tout les accès qui passe sachant qu'il faut être devant son écran pour voir les accès et les récupérer et oui pas de tampon Oui c'est pas faux, surtout que c'est en clair en plus !! |
|
15-04-2014, 14h56
Message : #5
|
|
Jek0
Regular Everyday Normal Mazafaka Messages : 113 Sujets : 5 Points: 40 Inscription : Jul 2013 |
RE: [ CVE-2014-0160 ] OPENSSL
Pour finir un mail avec panache :
Cordialement, Va donc te reproduire avec ta propre ethnie, enfant malpropre de fille de joie, [Insert-Your-Name-Here] Si vous ne comprenez pas, traduisez dans le langage "2 la téci tavu". |
|
18-04-2014, 15h06
Message : #6
|
|
dvor4x
h4ckoolik Messages : 31 Sujets : 4 Points: 18 Inscription : May 2013 |
RE: [ CVE-2014-0160 ] OPENSSL
Un petit paper pour venir en complément de ce que vous avez posté (profitez-en, c'est en Français !):
http://www.lexsi-leblog.fr/audit/sale-te...s-ssl.html
I'm a tea pot.
|
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
PandaLabs annual report 2014 | gruik | 0 | 75 |
06-03-2015, 08h55 Dernier message: gruik |
|
BKPCTF 2014: Fruit, getting further! | ark | 0 | 111 |
02-05-2014, 11h18 Dernier message: Ark |
|
[CTF] [Conf] [Bordeaux] Sthack 2014 | c4ffein | 5 | 319 |
01-03-2014, 16h10 Dernier message: c4ffein |
Utilisateur(s) parcourant ce sujet : 8 visiteur(s)