Archiwum miesiąca: kwiecień 2014

Serce mi krwawi (heartbleed) gdy widzę efekty pracy lamer adminów

Kilka dni temu świat IT obiegła informacja o bardzo niemiłej podatności w bibliotece OpenSSL. Została ona nazwana Heartbleed.Z grubsza umożliwia ona dostęp do pamięci procesu z którym możemy połączyć się protokołem TLS.

Po przeskanowaniu kilku sieci jestem bardzo zdegustowany poziomem jaki prezentują ladmini. Nie mówię o serwerach, które są całkowicie podatne, ignorowanie aktualizacji bezpieczeństwa może być zarówno wynikiem lenistwa, lamerstwa jak i układów biznesowych. Tacy ladmini nie są zaskoczeniem. Natomiast zauwazyłem jeszcze jedną kategorię, Ci co coś słyszeli o błedzie w OpenSSL i że ich serwery www mogą byc podatne na ten atak. Cóż takiego oni robią? Aktualizują bibliotekę kryptograficzną, restartują demona www i zadowoleni z siebie wylogowują się.
A ten błąd dotyczy wszystkich aplikacji korzystających z OpenSSL, tak, tak, MTA także jest podatny! Jak i demon pop3/imap, itd. Informacja o tym, że na porcie 443 działa serwer z załataną biblioteką ale na porcie 25 już nie wprowadza mnie w stan zażenowania, zażenowania, że ktoś może brać pieniądze za taką amatorszczyznę. Toć to większa amatorszczyzna niż 777 u pseudophpowców.

Nmap scan report for xxx.pl (91.x.y.z)
 Host is up (0.030s latency).
 Not shown: 2 closed ports
 PORT    STATE SERVICE
 25/tcp  open  smtp
 | ssl-heartbleed:
 |   VULNERABLE:
 |   The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected b
 y SSL/TLS encryption.
 |     State: VULNERABLE
 |     Risk factor: High
 |     Description:
 |       OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading me
 mory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption
 keys themselves.
 |
 |     References:
 |       http://cvedetails.com/cve/2014-0160/
 |       http://www.openssl.org/news/secadv_20140407.txt
 |_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
 110/tcp open  pop3
 143/tcp open  imap
 443/tcp open  https
  465/tcp open  smtps
 | ssl-heartbleed:
 |   VULNERABLE:
 |   The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected b
 y SSL/TLS encryption.
 |     State: VULNERABLE
 |     Risk factor: High
 |     Description:
 |       OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading me
 mory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption
 keys themselves.
 |
 |     References:
 |       http://cvedetails.com/cve/2014-0160/
 |       http://www.openssl.org/news/secadv_20140407.txt
 587/tcp open  submission
 | ssl-heartbleed:
 |   VULNERABLE:
 |   The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected b
 y SSL/TLS encryption.
 |     State: VULNERABLE
 |     Risk factor: High
 |     Description:
 |       OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading me
 mory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption
 keys themselves.
 |
 |     References:
 |       http://cvedetails.com/cve/2014-0160/
 |       http://www.openssl.org/news/secadv_20140407.txt
 |_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
 993/tcp open  imaps
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160