heartbleed - ceho vseho se vlastne tyka
Jozef Drahovsky
freebsdcz2 at jozef.drahovsky.sk
Thu Apr 10 20:20:11 CEST 2014
Nerozumiem preco k tomu doslo.
Podla dostupnych informacii, zneuzitie je zalozene na tom, ze klient sa
spoji zo serverom cez TLS a normalne komunikuje.
Pri normalnej komunikacii, prave ked sa nekomunimuje behaju udrzovacie
pakety, aby spojenie cez preklady adries, fw atd., zostalo zachovane.
Zrada je prave v tom, ze server, pre mna z nepochopiteneho dovodu =
zamernej diery, zacne vykonavat prikazy obsahnute v udrzovacom pakete.
Je to tak alebo sa mylim?
Pridavam odkaz na trochu obsirne napisany clanok k danej problematike:
http://www.osel.cz/index.php?clanek=7558
Chyba Krvácející srdce se týká rozšíření TLS „Heartbeat Extension“.
Heartbeat (tlukot srdce) umožňuje připojenému klientovi sítě anebo
aplikaci posílat zprávy, aby tak udrželi aktivní spojení během přenosu
dat. Za normálních okolností dostane server vzkaz s tlukotem srdce
Krvácející srdce postihuje zacházení s pamětí a zavinilo, že se při
každém úderu srdce internetové komunikace nabídne případnému útočníku
obsah paměti dotyčné aplikace. Chybu lze využít tak, že útočník
zmanipuluje vzkaz tlukotu srdce a zpátky dostane vše, co bylo v paměti
serveru, třeba cookies, uživatelská jména anebo hesla. Útočník pak může
ukrást identitu uživatelů a třeba i serveru, aby mohl zorganizovat útok
typu Man-in-the-middle (člověk uprostřed) a aktivně odposlouchávat
komunikaci jiných počítačů.
Jozef
Dňa 10.4.2014 18:35 Dan Lukes wrote / napísal(a):
> Urcite se objevi spousta ruznych a casto protichudnych nazoru na to co
> vsechno je zasazene. U pruseru hvezdne velikosti (a tohle je ten
> pripad) je trocha paniky normalni. V oblasti bezpecnosti ale nastesti
> existuje jednoduchy "standardni postup v pripade pochybnosti": pokud
> si nejsi jisty, zda konkretni aplikace je zasazena nejakym
> bezpecnostnim problemem, pak proste predpokladej, ze je.
>
> Dan
>
>
>
More information about the Users-l
mailing list