Bug openssl

Ciao,

scusate il cross-posting, solo per lasciarvi un problema riguardo a
openssl che ho visto in giro...

http://heartbleed.com/

attachment.htm (1.66 KB)

Ciao Davide,

molto male. Lo abbiamo discusso proprio ieri al Stammtisch.

Matthias

Davide schrieb:

Ciao,

E per chi desidera testare se il proprio sistema è vulnerabile, molti
script sono stati sviluppati nelle ultime ore. Tra di essi

https://github.com/titanous/heartbleeder
https://github.com/FiloSottile/Heartbleed
https://github.com/noxxi/p5-scripts/blob/master/check-ssl-heartbleed.pl
http://foxitsecurity.files.wordpress.com/2014/04/fox_heartbleedtest.zip
https://github.com/justfalter/heartbleed/blob/master/jared_stafford/heartbleed.py

Saluti,
Gianpaolo

Ciao,

ma questo dovrebbero farlo le banche gli altri siti che usano https? Ho
capito bene?
Farlo noi utenti questo test fa senso?

ma questo dovrebbero farlo le banche gli altri siti che usano https?
Ho capito bene?

Si' hai capito bene, e' un problema sui server. Fare l'update dei
pacchetti non basta, bisogna anche sostituire tutti i certificati sul
server.

Farlo noi utenti questo test fa senso?

No, ma come utente cambiare la password non guasterebbe...

Thomas

> E per chi desidera testare se il proprio sistema è vulnerabile, molti
> script sono stati sviluppati nelle ultime ore.
Ciao,

ma questo dovrebbero farlo le banche gli altri siti che usano https? Ho
capito bene?

Esatto.

Farlo noi utenti questo test fa senso?

Se per caso scopri che qualcuno ha un server vulnerabile e lo avvisi,
credo che tu gli faccia un enorme favore :-).

Saluti,
Gianpaolo

Farlo noi utenti questo test fa senso?

No, ma come utente cambiare la password non guasterebbe...

Attenzione: cambiare la password solo dopo che il fornitore dei servizi
ha confermato di avere risolto il problema, altrimenti non cambia
niente... :confused:

Le conseguenze di questo baco potrebbero pure andare molto molto
lontano: ad esempio ci sono le prime richieste di togliere startcom
dalle CA accettate da firefox, con la motivazione che avrebbero deciso
di non abbassare le fee per la revoce dei certificati compromessi. Se
questo accadesse non rimarrebbe più nessuna CA (da quello che so io)
riconosciuta da tutti i maggiori browser / sistemi operativi a fornire
certificati gratuitamente.

Una comunicazione di servizio a tutti i soci che usano l'istanza
owncloud e/o la webmail del lugbz: non siamo vulnerabili e non lo siamo
mai stati, quindi non dovete preoccuparvi :slight_smile:

Ciao,
Daniele