v****e 发帖数: 10715 | 1 【 以下文字转载自 PDA 讨论区 】
发信人: zjn (严禁灌水), 信区: PDA
标 题: 来个学术贴具体分析一下heartbleed的原理.
发信站: BBS 未名空间站 (Fri Apr 11 01:24:17 2014, 美东)
heartbleed的fix在这里:
https://bugzilla.redhat.com/attachment.cgi?id=883475&action=diff#a/ssl/d1_
both.c_sec1
问题出在直接拿了进来的数据包里面的两个字节作为后面memcpy的长度, 如果一个恶意
的数据包里给个64K作为长度而实际的数据包长度小于64KB, openssl就会把这个数据包
之后的内存内容拷贝发回.
由于用来存数据包的内存是动态分配的, 一般heap实现会将近似大小的动态分配内存放
在一个大的segment中,hacker应当可以读取64KB的和恶意数据包大小近似的动态分配内
存内容. 通过控制数据包长度, 加上知道重要的数据结构的大小, 应当有可能得到非常
重要的内容. 这确实是个十分严重的bug.
十分怀疑这程序员是故意的,这... 阅读全帖 |
|
p***o 发帖数: 1252 | 2 【 以下文字转载自 PDA 讨论区 】
发信人: zjn (严禁灌水), 信区: PDA
标 题: 来个学术贴具体分析一下heartbleed的原理.
发信站: BBS 未名空间站 (Fri Apr 11 01:24:17 2014, 美东)
heartbleed的fix在这里:
https://bugzilla.redhat.com/attachment.cgi?id=883475&action=diff#a/ssl/d1_
both.c_sec1
问题出在直接拿了进来的数据包里面的两个字节作为后面memcpy的长度, 如果一个恶意
的数据包里给个64K作为长度而实际的数据包长度小于64KB, openssl就会把这个数据包
之后的内存内容拷贝发回.
由于用来存数据包的内存是动态分配的, 一般heap实现会将近似大小的动态分配内存放
在一个大的segment中,hacker应当可以读取64KB的和恶意数据包大小近似的动态分配内
存内容. 通过控制数据包长度, 加上知道重要的数据结构的大小, 应当有可能得到非常
重要的内容. 这确实是个十分严重的bug.
十分怀疑这程序员是故意的,这... 阅读全帖 |
|
|
g**8 发帖数: 4951 | 4 谢谢楼主的贴。这么大的新闻居然没人讨论?
这里是这次事情的wiki,整个事情还在不断更新
http://en.wikipedia.org/w/index.php?title=Shellshock_%28softwar
上班的电脑不算,我自己的电脑自从N年前开始就只用linux了。结果今晚我根据
wiki上给出的命令做了个测试,结果我的这个比较新的某linux distribution也有问题
,当然,目前所有没有patch的linux系统应该全都有问题。。。
我记得很早的时候,unix上default的shell是sh,csh, tcsh这样的shell, bash是后来随
着linux才开始流行起来的,现在需要看看这次这个bash的漏洞,那个env variable使
用上的漏洞,是从bash最初版本就有的,还是随着linux从linux的open source阵营带
进来的,什么时候带进来的具体check-in,我还没更多阅读,冒昧臆测的话,不知是否
如同上次那个heartbleed,也有可能是人故意埋的bug,上次那个heartbleed是个德国
人某年的新年夜check-in的... 阅读全帖 |
|
m********5 发帖数: 17667 | 5 因为上次heartbleed已经把大家吓倒了, open source的安全神话已经破灭了。
bash的这个bug非常深沉,现在不是一两个patch就能解决的问题。直到现在这么多patch
还是没解决根本问题。ssh也有类似后门。开源早就被植入大量后门,再小心也会倒霉
。这次爆出来应该是有了新的成熟后门,因此曝光老的bash bug, 在大家急忙fix的时
候悄悄放入新的后门。以前认为openBSD, freeBSD审核相对较严(毕竟最先在9x年发现
opensource后门丑闻的就是BSD dev),现在BSD也不能幸免。
"I suspect that many of the Internet of Things, or Internet of Everything,
devices that have been distributed have Linux roots," says Alan Dundas, vice
president and product architect for Authentify. "How will the small CPU in
your th... 阅读全帖 |
|
h**********c 发帖数: 4120 | 6 go get github.com/FiloSottile/Heartbleed
go install github.com/FiloSottile/Heartbleed
./bin/Heartbleed localhost:443
...
Vulnerable |
|
o****p 发帖数: 9785 | 7 完全没用,还有多少类似heartbleed的bug你根本不知道,再说有过heartbleed以后所
有的基于证书的加密通信已经不可信了。你做物理千老就做吧,你不懂的东西就不要多
吹。 |
|
发帖数: 1 | 8 heartbleed这种zero-day vulnerability是中国国安这种层次能够挖掘的吗?
你跟我说这 不是班门弄斧吗?哈哈
更何况heartbleed是针对server的heap buffer overread. 你说说tcp测信道攻击倒是
稍稍靠边点
但国安的层次 你大可放心吧 |
|
|
N********n 发帖数: 8363 | 10
OPENSSL的用户都被BREACH了,你丫还舔着脸吹速度?微软打补丁一个UPDATE
跑下来就都补上了。OPENSSL那里全靠手工,不知道要多久才补完。你省省吧,
http://www.v3.co.uk/v3-uk/news/2339914/heartbleed-canada-revenu
"Based on our analysis to date, social insurance numbers of
approximately 900 taxpayers were removed from CRA systems by someone
exploiting the Heartbleed vulnerability." |
|
m********5 发帖数: 17667 | 11 怎么没有?
基本上千疮百孔,9x年的时候就闹过运动,你们玩开源的年纪轻,不知道罢了
这次的OpenSSL Heartbleed存在多少年了,还不是才发现 |
|
o****p 发帖数: 9785 | 12 你加密最怕的是传密钥的时候被人看见,还有我都提了两遍了,真的没有第二次
heartbleed了么? |
|
m********5 发帖数: 17667 | 13 上次 SSL的 heartbleed 就已经说明开源项目有大量棱镜的玩意儿
全世界在NSA面前都没有秘密
现在的开源项目太多NSA的员工在搞code review,里面加了不少料,基本都是欧洲机构
爆出来。大陆根本没人能发现问题。
其实在九几年的时候BSD项目对添加新代码就非常谨慎。因为当时网络的基础模块被爆
有几个主要代码贡献人拿了美国某机构的钱往里面加料。现在还清晰记得,当时大家以
为是CIA, 现在当然知道其实是NSA. |
|
发帖数: 1 | 14 你跟一群五毛探討科技, 別太認真, 這幫傢伙崔牛拍馬比較在行, 搞科技黑客技術.呵
呵~~~
估計什麼是heartbleed 以及 它的原理是什麼,這幫人都沒搞清楚. 哈哈哈~~~~ |
|
p*******m 发帖数: 20761 | 15 Lexus software update gives new meaning to 'car crash'
Now that cars are as buggy as computers, we're in trouble.
Violet Blue , @violetblue
19h ago in Transportation
7
Comments
Shares
Illustration by D. Thomas Magee
Last year, headlines made everyone fearful of hackers taking over cars on
the freeway. Turns out the real menace to owners of connected cars are the
loopy manufacturers themselves.
Toyota had to suck it up this week and admit to Lexus owners, who were going
nuts on Facebook and Tw... 阅读全帖 |
|
|
R*****0 发帖数: 146 | 17 两个小时前突然收到email说给老爸定的往返中国的UA里程票被cancel了,着急地确认
一下我们都没有在网上误操作,打电话问UA,说是人为cancel,最后recover了大部分
,剩下的一段CA航段由于日程太临近不一定有票,说好24小时内打电话过来解决。
感觉很蹊跷,有两段国际行程是国航CA的。像是UA或是CA误操作或是某一方(包括我)
的账户被黑,联想到最近的heartbleed,不寒而栗啊。随手google一下,谁知找到
flyertalk上的难兄难弟了
http://www.flyertalk.com/forum/united-airlines-mileageplus/1565
给广大同胞们提个醒了,最近留心用UA里程票定包含CA航段的行程。郁闷。。。 |
|
q********g 发帖数: 10694 | 18 【 以下文字转载自 Money 讨论区 】
发信人: Ray3420 (Ray3420), 信区: Money
标 题: UA往返中国里程票被莫名其妙cancel掉,不止我一个
发信站: BBS 未名空间站 (Fri Apr 25 00:25:57 2014, 美东)
(4/24)两个小时前突然收到email说给老爸定的往返中国的UA里程票被cancel了,着急
地确认
一下我们都没有在网上误操作,打电话问UA,说是人为cancel,最后recover了大部分
,剩下的一段CA航段由于日程太临近不一定有票,说好24小时内打电话过来解决。
感觉很蹊跷,有两段国际行程是国航CA的。像是UA或是CA误操作或是某一方(包括我)
的账户被黑,联想到最近的heartbleed,不寒而栗啊。随手google一下,谁知找到
flyertalk上的难兄难弟了
http://www.flyertalk.com/forum/united-airlines-mileageplus/1565
给广大同胞们提个醒了,最近留心用UA里程票定包含CA航段的行程。郁闷。。。
---------------------... 阅读全帖 |
|
z****n 发帖数: 3189 | 19 你把微软的代码给我,让我找几个端口远程操控的后门之类小儿科,我当然可以。
heartbleed 那种我可能不行。
但是我不行,不代表别人不行。 |
|
f*******t 发帖数: 7549 | 20 首先,漏洞跟远程操控的后门是两回事,不要偷换概念。
另外我正想说heartbleed呢,可能已经被NSA利用了几年以后才被开源界发现,反正入
侵这个漏洞不会留下痕迹,大家就当没发生过。 |
|
o**********e 发帖数: 18403 | 21 本来是写个求职人士的。
但是那些老实给烙印打工,
给烙印踩在脚下的人士也可以借鉴。
【 以下文字转载自 JobHunting 讨论区 】
发信人: onetiemyshoe (onetiemyshoe), 信区: JobHunting
标 题: IT求职:刷题不如听我二计
发信站: BBS 未名空间站 (Sun Apr 20 12:03:57 2014, 美东)
1. 把Heart Bleed Bug搞清楚。
从源代码到business impact,
你要能一清二楚而且表达得头头是道。
保证你们面见的大头都扫地相迎。
因为他们正身在噩梦之中,
不在乎有功,只在乎无过。
http://www.inferse.com/14435/heartbleed-bug-handling-security/
学习code quality/security audit.
几个人一起,把openssl 合力audit一次。
特别是用的少的部分, 互相交流,互相present。
最基本的比如: web programming,
mobile programming, framework
有什么 co... 阅读全帖 |
|
s*********r 发帖数: 8929 | 22 hO(n_n)O??~
Do you know heartbleed? |
|
|
|
z*********n 发帖数: 94654 | 25 大规模密码泄密隔一段时间就有啊
前不久的heartbleed漏洞几乎影响了所有的网站,所有的人都可以轻易获取大部分使用
那个版本openssl的网站的信息,当然具体获取到啥信息比较随机,包括用户名和密码
国内常见的就是木马,和骗子网站
target那个就是自己security做得差被闯入了 |
|
z*********n 发帖数: 94654 | 26 regulation
这个叫pci compliance
就是一些规定,比如数据库必须在firewall之后的vlan等等的
但是无论如何web server需要access 数据库,那些信息到头来还是到了web server了
web server 无论如何都要public facing的
还有就是ssl,这个架不住写ssl code的人脑残比如heartbleed
还有就是pci regulation很多时候也是joke,如何reenforce?
上面通知来检查,哈哈,来几个不懂技术的人来audit,问卷调查,哈哈 |
|
|
g*******r 发帖数: 140 | 28 这两天听这个话题挺多的,搞得有点担心。
懂行的进来说说,需要换那些网络帐号密码?
谢谢!! |
|
|
|
g**8 发帖数: 4951 | 31 我从来就不怕丢人现眼, 我就是要全世界全天下都看看我的瞎推大家自己下结论。独
立思考,自由心证,去分析判断,而不是根据一大堆所谓的概念来指摘别人都是外行。
你真是内行大牛,别的不说,请你对棱镜稍稍分析一下他们是如何把谷歌的gmail,微
软的补丁,脸书的profile和朋友圈以及linkedin
的短信,全部都被当作棱镜的工具实施"光辉事迹“的。 openssl的heartbleed漏洞连
主流媒
体都直接怀疑是棱镜做的,你也没内行大牛分析过,DDOS,anonymous我当然听说过,我
以上其他贴里的任何内容和逻辑推论和言辞,都没有任何逻辑上的indicatin我不
知道那些,到底黑客是谁,是我的判断。你逻辑上的非一即零,如此单薄的思维方式,你
单薄的不是一点半点。还有,美国的主流新闻是丁点不会讨论谁来帮助老中对付烙印的
,当然,你貌似好像认为烙印根本不是问题。
give me a break! yes, i repeat, you give me a break! |
|
g**8 发帖数: 4951 | 32 看了半天才反应过来原来3楼说得是我,这话说得够费劲的。 楼主说得没有错,上次那
个heartbleed如果大家有心去看看整个事情的timeline,就会意识到,那个bug在
embargo之前就从redhat印度传到硅谷,传遍了烙印圈子,也许角度不同,但是事实上
阿三的势力和在两个bug发现补丁的过程中,确实很有关系。 |
|
o**********e 发帖数: 18403 | 33 谢谢LS的。
思科越来越烂,烙印“工程师”70-90%,
直接把OPENSOURCE的
SSH往老货HARDWARE一放,连QA都不做。
然后出了HEARTBLEED,收回13+产品。
还好意思利用政治践踏HUAWEI。
HUAWEI 好样的。 多做点好广告,
不要太难看的广告就好。支持HUAWEI,
XIAOMI, ONEPLUS, ALI, WECHAT。 |
|
l**a 发帖数: 6415 | 34 【 以下文字转载自 Money 讨论区 】
发信人: Ray3420 (Ray3420), 信区: Money
标 题: UA往返中国里程票被莫名其妙cancel掉,不止我一个
发信站: BBS 未名空间站 (Fri Apr 25 00:25:57 2014, 美东)
(4/24)两个小时前突然收到email说给老爸定的往返中国的UA里程票被cancel了,着急
地确认
一下我们都没有在网上误操作,打电话问UA,说是人为cancel,最后recover了大部分
,剩下的一段CA航段由于日程太临近不一定有票,说好24小时内打电话过来解决。
感觉很蹊跷,有两段国际行程是国航CA的。像是UA或是CA误操作或是某一方(包括我)
的账户被黑,联想到最近的heartbleed,不寒而栗啊。随手google一下,谁知找到
flyertalk上的难兄难弟了
http://www.flyertalk.com/forum/united-airlines-mileageplus/1565
给广大同胞们提个醒了,最近留心用UA里程票定包含CA航段的行程。郁闷。。。
---------------------... 阅读全帖 |
|
c******n 发帖数: 16666 | 35 自打heartbleed和ghost之后 我对linux 的信心也没这么足了 |
|
m******j 发帖数: 5079 | 36 【 以下文字转载自 LeisureTime 讨论区 】
发信人: loca (渔歌互答-打着一朵细花阳伞), 信区: LeisureTime
标 题: UA往返中国里程票被莫名其妙cancel掉,不止我一个 (转载)
发信站: BBS 未名空间站 (Sat Apr 26 19:42:52 2014, 美东)
发信人: Ray3420 (Ray3420), 信区: Money
标 题: UA往返中国里程票被莫名其妙cancel掉,不止我一个
发信站: BBS 未名空间站 (Fri Apr 25 00:25:57 2014, 美东)
(4/24)两个小时前突然收到email说给老爸定的往返中国的UA里程票被cancel了,着急
地确认
一下我们都没有在网上误操作,打电话问UA,说是人为cancel,最后recover了大部分
,剩下的一段CA航段由于日程太临近不一定有票,说好24小时内打电话过来解决。
感觉很蹊跷,有两段国际行程是国航CA的。像是UA或是CA误操作或是某一方(包括我)
的账户被黑,联想到最近的heartbleed,不寒而栗啊。随手google一下,谁知找到
flyert... 阅读全帖 |
|
W****S 发帖数: 6555 | 37 never click any link, even if it is a valid email.
copy and paste the text (not the link), the best way is to type the address.
BTW, DO NOT USE ONLINE SERVICES NOW. YOUR PASSWORD WILL BE SEEN.
there is a bug in SSL causing hackers able to see user name and password. it
is on media everywhere now, just search heartbleed. |
|
s****y 发帖数: 503 | 38 最近的Heartbleed bug好像和OpenSSL有关吧
应该升级OpenSSL到最新的版本,然后再重新生成Certificate |
|
|
k***e 发帖数: 7933 | 40 centos 6,openssl是1.0.1e,heartbleed vulnerable。更新openssl说没有
# yum update openssl
Loaded plugins: security
Setting up Update Process
No Packages marked for Update
#
需要怎么更新? |
|
l*********o 发帖数: 3091 | 41 Debian 这种我从来没upgrade过。除了上次heartbleed强制update.
从squeeze到wheezy都是重装。
pci: |
|
|