Kilka dni temu świat IT obiegła informacja o bardzo niemiłej podatności w bibliotece OpenSSL. Została ona nazwana Heartbleed.Z grubsza umożliwia ona dostęp do pamięci procesu z którym możemy połączyć się protokołem TLS.
Po przeskanowaniu kilku sieci jestem bardzo zdegustowany poziomem jaki prezentują ladmini. Nie mówię o serwerach, które są całkowicie podatne, ignorowanie aktualizacji bezpieczeństwa może być zarówno wynikiem lenistwa, lamerstwa jak i układów biznesowych. Tacy ladmini nie są zaskoczeniem. Natomiast zauwazyłem jeszcze jedną kategorię, Ci co coś słyszeli o błedzie w OpenSSL i że ich serwery www mogą byc podatne na ten atak. Cóż takiego oni robią? Aktualizują bibliotekę kryptograficzną, restartują demona www i zadowoleni z siebie wylogowują się.
A ten błąd dotyczy wszystkich aplikacji korzystających z OpenSSL, tak, tak, MTA także jest podatny! Jak i demon pop3/imap, itd. Informacja o tym, że na porcie 443 działa serwer z załataną biblioteką ale na porcie 25 już nie wprowadza mnie w stan zażenowania, zażenowania, że ktoś może brać pieniądze za taką amatorszczyznę. Toć to większa amatorszczyzna niż 777 u pseudophpowców.
Nmap scan report for xxx.pl (91.x.y.z) Host is up (0.030s latency). Not shown: 2 closed ports PORT STATE SERVICE 25/tcp open smtp | ssl-heartbleed: | VULNERABLE: | The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected b y SSL/TLS encryption. | State: VULNERABLE | Risk factor: High | Description: | OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading me mory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption keys themselves. | | References: | http://cvedetails.com/cve/2014-0160/ | http://www.openssl.org/news/secadv_20140407.txt |_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 110/tcp open pop3 143/tcp open imap 443/tcp open https 465/tcp open smtps | ssl-heartbleed: | VULNERABLE: | The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected b y SSL/TLS encryption. | State: VULNERABLE | Risk factor: High | Description: | OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading me mory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption keys themselves. | | References: | http://cvedetails.com/cve/2014-0160/ | http://www.openssl.org/news/secadv_20140407.txt 587/tcp open submission | ssl-heartbleed: | VULNERABLE: | The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected b y SSL/TLS encryption. | State: VULNERABLE | Risk factor: High | Description: | OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading me mory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption keys themselves. | | References: | http://cvedetails.com/cve/2014-0160/ | http://www.openssl.org/news/secadv_20140407.txt |_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 993/tcp open imaps |_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160