[the lsd]

Et ben, la semaine est forte en émotions !

Hier, en plus de la fin du support XP, on a eu un beau "bug" sur openssl. Une bête variable non sécurisée a permis (pendant plus ou moins deux ans apparemment) de mettre tous les sites utilisant du SSL a poil sur Internet. Quand je dis à poil, cela signifie récupération potentielle des clés privées, mais aussi les crédentials, les numéros potentiels de CB, des cookies de sessions, et j'en passe. En gros, dès qu'on a du SSL, on est virtuellement foutu !

Le truc marrant dans l'histoire, c'est que openSSL, c'est pas un petit projet, il est utilisé un peu partout,  ça pique un peu du coup. Même le FBI a été touché. Encore un coup de la NSA ?

Techniquement parlant, ce n'est pas très compliqué à comprendre, juste une histoire de mémoire non initialisée : le client envoie régulièrement des heartbeats, le serveur les recoie et répond. Le souci c'est que le serveur attend un message d'une taille définie. Si on envoie un message de taille inférieur, le serveur complète son retour avec ce qui se trouve dans la ram. Si ce qui est dans la ram contient des mots de passes, c'est gagné

La petite info qui va bien, c'est la mise à jour des sources  : en mettant la version 1.0.1g, le problème est résolu. A faire d'urgence.

Un peu plus d'explications ici : heartbleed.com ou là : pcinpact.com
Pour faire le teste, c'est par là : filippo.io/Heartbleed/


Enjoy

The lsd

[tarzanlefumeur]

Hi !

En effet en voilà une belle faille !
Un peu plus d'infos techniques avec ce lien : http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html

En tout cas c'est cool ces petites news régulières sur le site

[the lsd]

Cool, thanks pour le lien technique, ça m'évite de pondre un truc

Btw, je me suis pas rendu compte au premier coup d'oeil hier, mais cette faille est énorme, elle surpasse de loin la faille de 2008 qui permettait de chopper les clés privées, on a (virtuellement) accès à toute la mémoire du process, suffit de lancer l'attaque en boucle et tu récupères en clair plus ou moins tout le trafic d'un site, même pas besoin de MITM
Imagine un peu les banques, elles ont du pas mal se faire dessus en apprenant le truc !

Content que les news régulières te plaisent, faut pas hésiter à poster, pour peu que la news soit un minimum rédigée, avec quelques sources

Enjoy

The lsd

[Thopajo]

Petite précision c'est uniquement à partir de la 1.0.1 jusque 1.0.1f les autres ne sont pas impactées normalement.
(aussi la 1.0.2beta1 me semble t il)

Également si l'extension heartbeat id15 n'est pas activée pas de problème non plus (de ma compréhension)

Pour tester en local :

openssl s_client -connect localhost:443  -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

[ferbos]

Vachement déçu par la rubrique, je pensais à un truc plus lubrique

Du type: Hollande+Payet=(je te rejoins en scooter)

ferbos

[the lsd]

Dans ce cas, ce lien est pour toi   

Enjoy

The lsd

[ferbos]

Merci. J'avais du mal à choisir entre le Carlton et le Sofitel pour cet été

ferbos

[the lsd]

C'est maintenant officiel, on PEUT obtenir les clés privées avec Heartbleed : blog.cloudflare.com/the-results-of-the-cloudflare-challenge

Avant, on était sur de la théorie, là, c'est concret !

Enjoy

The lsd

[Thopajo]

Merci pour l'info

[the lsd]

Azy, j'suis vraiment sous doué avec le bbcode en ce moment.

Bref, link fixed, tu peux réessayer maintenant

Enjoy

The lsd

[ferbos]

J'suis sûr que le bbcode n'est pour rien dans cette histoire. Les liens "people" sont plus facile à écrire

Amen.

ferbos