Мохнатые уроды и моральные пёзды. Войти !bnw Сегодня Клубы

Тут всем пизда кароч, в openssl очень серьезная бага, которая позволяет читать оперативку сервера http://heartbleed.com/ Всем кароч нужно обновляться и перевыпускать сертификаты.

Рекомендовали: @hongweibing @autism
#G6GZDY / @anonim / 2726 дней назад

около часа назад почти везде обновился
#G6GZDY/PP2 / @stiletto / 2726 дней назад
открыл windows update @ там ничего
#G6GZDY/RM7 / @238328 / 2725 дней назад
@238328 двач
#G6GZDY/JZ5 / @krkm --> #G6GZDY/RM7 / 2725 дней назад
Походу через эту багу скоро очень много чего будет прочитано. Большие сайты быстро обновятся, а мелкие забьют.
#G6GZDY/6W5 / @engineer / 2725 дней назад
@engineer У мелких еще часто всякий StartSSL, который дает перевыпустить сертификат только за ДЕНЬГИ, овер 20 долларов.
#G6GZDY/CSZ / @anonim --> #G6GZDY/6W5 / 2725 дней назад
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html пишут что можно только читать случайные 64к куски памяти кучи процесса. Как они умудрились бизнес-документы спереть?
#G6GZDY/CTC / @engineer / 2725 дней назад
@engineer Повторяя чтение 64 килобайтных чанков до тех пор, пока не спиздили всю память.
#G6GZDY/ZD5 / @anonim --> #G6GZDY/CTC / 2725 дней назад
@anonim Одного процесса, прошу заметить. Ну спёрли мы память nginx'а, там приватные ключи. Дальше что?
#G6GZDY/J9U / @engineer --> #G6GZDY/ZD5 / 2725 дней назад
@engineer Там не одного процесса же вроде, по адресам вся память доступна.
#G6GZDY/VYR / @anonim --> #G6GZDY/J9U / 2725 дней назад
@anonim Вот через что байтики крадутся: memcpy(bp, pl, payload); memcpy же обычная функция, работает на виртуальной памяти процесса. В чужую память зайти не может.
#G6GZDY/G98 / @engineer --> #G6GZDY/VYR / 2725 дней назад
@engineer А, ну может. Тогда наверное имелось в виду что можно спиздить сертификат и пиздить документы, хотя там в конце и это ставится под сомнение, но в оригинале у них получилось спиздить.
#G6GZDY/A2C / @anonim --> #G6GZDY/G98 / 2725 дней назад
@anonim Интересно повторить, что мы не хэкки чтоле
#G6GZDY/ILY / @engineer --> #G6GZDY/A2C / 2725 дней назад
@engineer спёрли память nginx'а @ нашли пароли юзера @ залогинились @ спёрли бизнес-документы // тупой штоле
#G6GZDY/OJL / @ulidtko --> #G6GZDY/J9U / 2725 дней назад
@engineer lessons нормик: > I'm a fan of C. It was my first programming language and it was the first language I felt comfortable using professionally. But I see its limitations more clearly now than I have ever before. > > Between this and the GnuTLS bug, I think that we need to do three things: > > 1. Pay money for security audits of critical security infrastructure like OpenSSL > 2. Write lots of unit and integration tests for these libraries > 3. Start writing alternatives in safer languages > > Given how difficult it is to write safe C, I don't see any other options. I would donate to this effort. Would you?
#G6GZDY/50G / @ulidtko --> #G6GZDY/CTC / 2725 дней назад
@ulidtko На джаваскрипте.
#G6GZDY/QGT / @anonim --> #G6GZDY/50G / 2725 дней назад
@anonim пруф или на coq // пок-пок
#G6GZDY/Y0J / @ulidtko --> #G6GZDY/QGT / 2725 дней назад
#G6GZDY/31O / @anonim --> #G6GZDY/OJL / 2725 дней назад
@anonim нiрм // маловероятно
#G6GZDY/L56 / @238328 --> #G6GZDY/31O / 2725 дней назад
@238328 Что маловероятно, до сих пор бля вюнерейбл.
#G6GZDY/J94 / @anonim --> #G6GZDY/L56 / 2725 дней назад
@anonim А, это yahoo.com вюнерейбл, а mail.yahoo.com уже пофиксили.
#G6GZDY/REM / @anonim --> #G6GZDY/J94 / 2725 дней назад
@ulidtko Это понятно, но с чего логин и пароль для доступа именно к серверу (по SSH, подразумеваю я) должен быть именно в памяти процесса веб-сервера. Ему там неоткуда взяться.
#G6GZDY/9WF / @engineer --> #G6GZDY/OJL / 2725 дней назад
@engineer Можно спиздить пароль от какой-нибудь админки, или от почты, например. Не только веб-сервера, также мейл-сервера, жаббер-сервера, впн-сервера и что там еще юзает опенссл.
#G6GZDY/IFL / @anonim --> #G6GZDY/9WF / 2725 дней назад
@anonim Openssh @ openssl? Вот разве что так.
#G6GZDY/MQ6 / @engineer --> #G6GZDY/IFL / 2725 дней назад
@anonim лан
#G6GZDY/WX3 / @238328 --> #G6GZDY/J94 / 2725 дней назад
#G6GZDY/3RG / @238328 / 2725 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.