id: Гость   вход   регистрация
текущее время 01:16 29/03/2024
Владелец: unknown (создано 08/04/2014 11:32), редакция от 12/04/2014 17:52 (автор: unknown) Печать
Категории: софт, анонимность, криптоанализ, инфобезопасность, tor, ошибки и баги, уязвимости, стандарты, атаки, ssl, разное, события
http://www.pgpru.com/Новости/2014/УязвимостьВOpenSSLМожетПодвергатьОпасностиПользователейTorИДругихПрограмм
создать
просмотр
редакции
ссылки

08.04 // Уязвимость в OpenSSL может подвергать опасности пользователей Tor и других программ


Новая уязвимость в OpenSSL 1.0 — 1.0.1 может быть использована для раскрытия данных, находящихся в памяти клиента, соединяющегося с сервером — CVE-2014-0160. Верно и обратное — раскрытие данных в памяти сервера, использующего OpenSSL, если с ним способен установить соединение злонамеренный клиент.


Использование более старых версий OpenSSL безопасно.


Проверка системной версии (не из пакета TBB):

Уязвимые на данный момент версии: 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1, 1.0.2-beta1. В состав дистрибутивов Linux и др. операционных систем после исправления уязвимости могут входить версии с таким же номером, но с добавлением номера патча из пакета. Проверьте установленную версию средствами своего пакетного менеджера.


Heartbleed (8 Кб)


Эта уязвимость, получившая название "Heartbleed" («кровоточащее сердце»), затрагивает множество программ, не только Tor — каждый, кто запускает https-сервер или клиент может быть потенциальным противником или жертвой: возможна утечка памяти всех процессов, использующих OpenSSL (например веб-сервера, VPN и др). Если вам нужна стойкая анонимность и приватность в интернете, то стоит подумать о прекращении использования интернета на ближайшие несколько дней до исправления уязвимости.


Уязвимость не была обнаружена с марта 2012 года.


Следующие сведения имеют отношения к компонентам Tor:


  1. Клиенты: Непосредственно браузер из состава Tor Browser Bundle не должен быть уязвимым, т.к. использует libnss, а не openssl. Но клиенты Tor способны отправлять информацию о том, какие сайты они посещали в пределах данной сессии своим входящим узлам. Для TBB будут незамедлительно выпущены новые версии Tor Browser 3.5.4 is Released; для пользователей системного тор-демона необходимо будет обновить OpenSSL и вручную перезапустить Tor.
  2. Релеи и бриджи: узлы Tor и бриджи могут производить утечку своих среднесрочных onion-ключей (меняющихся раз в неделю) или долговременных аутентификационных ключей узлов. Атакующий, который знает идентифицирующий ключ вашего релея, может опубликовать новый дескриптор сообщающий о смене вашего местоположения (не слишком опасная атака). Если при этом атакующий может перехватывать трафик до релея, знает onion-ключ, то он может перехватывать трафик от вас до вашего релея, подменяя его адрес на свой подставной. Из-за многохоповой конструкции Tor такая атака только на один узел также не слишком опасна. В любом случае, это требует обновления OpenSSL, обновления данных в DataDirectory узла и перезапуска Tor для генерации новых ключей.
  3. Скрытые сервисы: у них происходит утечка долговременных аутентификационных ключей к их гвард-узлам. Как и в предыдущем крупном баге в OpenSSL это не позволит атакующему определить местоположение скрытого сервиса, но знание его ключа позволит производить его подмену. По обновлённым сведениям IP-адрес скрытого сервиса также может быть раскрыт. Рекомендуется сменить адрес скрытого сервиса после обновления.
  4. Корневые авторизующие диектории: у них, помимо вышеописанных утечек узловых и мостовых ключей, может происходить утечка среднесрочных ключей подписи статистики. После обновления OpenSSL их владельцам потребуется создать новые ключи подписей. Долговременные ключи находятся в оффлайне и неподвержены атаке. Из-за прописывания отпечатков ключей в код клиентов пока не выработана стратегия смены ключей с минимальным ущербом для пользователей сети.
  5. Tails: использует Debian oldstable и неподвержен уязвимости.
  6. Orbot: уязвим; детали будут опубликованы позднее.
  7. Большинство серверов https://www.torproject.org потребуют обновлений и смены сертификатов.

![WWW] Как сообщает ведущий разработчик Tor, Роджер Динглдайн, последствия Heartbleed-уязимости для сети Tor до конца не выяснены. На данный момент установлено, что она позволяет раскрывать IP-адреса скрытых сервисов. Также подозревается существование возможности проведения Heartbleed-атаки на пользователя не только со стороны сторожевых узлов, но и производя MiTM в локальной сети — например со стороны провайдера или путём перехвата беспроводного соединения.

Источник: Torproject Blog.


 
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Комментарии [скрыть комментарии/форму]
— Гость (26/09/2014 02:05)   <#>
PS А точнее ответ вида:
vulnerable
this is a test

говорит о наличии уязвимости.
— SATtva (26/09/2014 07:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Нет там рута, есть исполнение произвольного кода с привилегиями текущего пользователя, но во многих случаях (не всегда очевидных) с потенциалом сетевого вектора.
— Гость (06/10/2014 17:12)   <#>
Новая бага?
Исследователь обещает взломать RSA-1024 (полученные при генерации кодом OpenSSL) за 20 минут меньше чем за год и с минимальными вложениями, путем выборочного перебора. Причина, по его утверждению, в ошибке кода:
bitsp=(bits+1)/2;
bitsq=bits-bitsp;
bits это размер модуля n (к примеру 1024), bitsp и bitsq целочисленные переменные.
— Гость (07/10/2014 14:51)   <#>

Уже отменил багу.
— Гость (21/10/2014 19:59)   <#>
а меня интересует, как влияют дыры в openssl на openvpn, извиниете за ламерский вопрос, но интересно. вот в openssl закрыли дыры: http://www.securitylab.ru/news/460026.php, а впн не спешат обновить
— Гость (21/10/2014 22:26)   <#>
Достаточно обновить openssl и перезапустить openvpn, чтобы он загрузил обновлённые библиотеки. По-моему этого достаточно.
— Гость (21/10/2014 23:20)   <#>
а у клиента, если у него винда... как писало library versions: OpenSSL 1.0.1h так и пишет
— SATtva (22/10/2014 08:31)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В недоОСи винде принято линковать все программы статически либо бандлить скомпилированные и уязвимые версии библиотек вместе с дистрибутивом программы.
— Гость (22/10/2014 12:05)   <#>
бандлить скомпилированные и уязвимые версии библиотек вместе с дистрибутивом программы.

Как в TBB для любой платформы.
— SATtva (22/10/2014 12:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Разница в том, что Tor Project выпускает обновления TBB зачастую быстрее, чем даже линукс-дистрибутивы.
— unknown (17/12/2014 10:25, исправлен 17/12/2014 10:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Пока в разных темах обсуждались желтоватые статейки про то, какие крипто и анонимные проекты являются хонейпотами АНБ, кто-то на конференциях спокойно обсуждал материалы такого рода: file2014 IEEE Military Communications Conference, Determining the Utility of Cyber Vulnerability Implantation, The Heartbleed Bug as a Cyber Operation.


However, there are still some targets that are hard to access:
those which employ advanced security methods, those which
are moving, or those which are as yet unknown.

This paper presents a case study focusing on the Heartbleed bug, used as a tool in an offensive cyber operation. We introduce a model to estimate the adoption rate of an implanted flaw in OpenSSL, derived by fitting collected real-world data. Our calculations show that reaching a global adoption of at least 50 % would take approximately three years from the time of release, given that the vulnerability remains undiscovered, while surpassing 75 % adoption would take an estimated four years. The paper concludes that while exploiting zero-day vulnerabilities may indeed be of significant military utility, such operations take time. They may also incur non-negligible risks of collateral damage and other societal costs.

The verifiability and quality of the code is low [18], and “reading the source code […] is close to impossible” [12].

Let us now assume that the Heartbleed bug was indeed not only known, but also designed and clandestinely implanted in the OpenSSL software base by an unspecified intelligence organization.
— SATtva (17/12/2014 11:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Красота какая.
— Гость (17/12/2014 16:05)   <#>

Хорошая статья. Оформление аккуратное, красивое, язык чёткий, всё чисто и понятно написано. Даже работы по исследованиям из противоположного лагеря, когда оформлены должным образом, приятно листать.
— Гость (11/03/2015 19:33)   <#>
А FREAK-атака на SSL здесь ранее обсуждалась или нет? Кажется было, но детали не помнятся.
— SATtva (11/03/2015 20:21)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
/comment89554
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3