heartbleed - ceho vseho se vlastne tyka

Jozef Drahovsky freebsdcz2 at jozef.drahovsky.sk
Thu Apr 10 20:20:11 CEST 2014


Nerozumiem preco k tomu doslo.
Podla dostupnych informacii, zneuzitie je zalozene na tom, ze klient sa 
spoji zo serverom cez TLS a normalne komunikuje.
Pri normalnej komunikacii, prave ked sa nekomunimuje behaju udrzovacie 
pakety, aby spojenie cez preklady adries, fw atd., zostalo zachovane.
Zrada je prave v tom, ze server, pre mna z nepochopiteneho dovodu = 
zamernej diery, zacne vykonavat prikazy obsahnute v udrzovacom pakete.

Je to tak alebo sa mylim?

Pridavam odkaz na trochu obsirne napisany clanok k danej problematike:

http://www.osel.cz/index.php?clanek=7558
Chyba Krvácející srdce se týká rozšíření TLS „Heartbeat Extension“. 
Heartbeat (tlukot srdce) umožňuje připojenému klientovi sítě anebo 
aplikaci posílat zprávy, aby tak udrželi aktivní spojení během přenosu 
dat. Za normálních okolností dostane server vzkaz s tlukotem srdce 
Krvácející srdce postihuje zacházení s pamětí a zavinilo, že se při 
každém úderu srdce internetové komunikace nabídne případnému útočníku 
obsah paměti dotyčné aplikace. Chybu lze využít tak, že útočník 
zmanipuluje vzkaz tlukotu srdce a zpátky dostane vše, co bylo v paměti 
serveru, třeba cookies, uživatelská jména anebo hesla. Útočník pak může 
ukrást identitu uživatelů a třeba i serveru, aby mohl zorganizovat útok 
typu Man-in-the-middle (člověk uprostřed) a aktivně odposlouchávat 
komunikaci jiných počítačů.


Jozef



Dňa 10.4.2014 18:35 Dan Lukes wrote / napísal(a):
> Urcite se objevi spousta ruznych a casto protichudnych nazoru na to co 
> vsechno je zasazene. U pruseru hvezdne velikosti (a tohle je ten 
> pripad) je trocha paniky normalni. V oblasti bezpecnosti ale nastesti 
> existuje jednoduchy "standardni postup v pripade pochybnosti": pokud 
> si nejsi jisty, zda konkretni aplikace je zasazena nejakym 
> bezpecnostnim problemem, pak proste predpokladej, ze je.
>
> Dan
>
>
>



More information about the Users-l mailing list