El 12/04/14 11:22, Matthias Apitz escribió:
Hola compa?eros,
Me sorprende un poco que en nuestra lista no haya le?do nada del problema
HEARTBEAT bug en la implementaci?n de SSL por openssl.org.
La librer?a libssl.so es seguramente parte de cualquier sistema de
Linux; el bug permite robar certificados u otros datos sensitivos. Se
manifiesta desde la versi?n 1.0.1 (cuando la funci?n HEARTBEAT fue
introducida en openssl en marzo 2012) hasta la versi?n 1.0.1f.
Para m?s detalles leed
http://www.openssl.org/news/secadv_20140407.txt
En la lista de correo de openssl.org se public? una herramienta peque?a
con la que se puede comprobar si un servidor est? comprometido por el
hueco de seguridad o no (adjunto dicho mensaje).
Se corre dicha herramienta as?:
$ ./heartbleed localhost:631
VULNERABLE!
o sea mi CUPS local muestra el hueco de seguridad, mientras el servidor
de nuestra lista:
$ ./heartbleed listas.jovenclub.cu:443
NOT VULNERABLE (TLS Heartbeat extension not supported by the server)
corre tal vez una versi?n sin la funci?n HEARTBEAT, o sea o se trata de
una versi?n antes de 1.0.1, o fue compilado sin activar la funci?n HEARTBEAT.
Os aconsejo que tengan medidas, en serio.
Saludos
matthias
----- Forwarded message from Rob Stradling <rob.stradl...@comodo.com> -----
Date: Thu, 10 Apr 2014 12:16:53 +0100
From: Rob Stradling <rob.stradl...@comodo.com>
To: openssl-us...@openssl.org
Subject: Re: OpenSSL Security Advisory
...
Simpler still...
https://gist.github.com/robstradling/10363389
It's based on what Viktor posted, but it works without patching the
OpenSSL library code.
To compile:
$ gcc -ansi -pedantic -o heartbleed heartbleed.c -lssl -lcrypto
Examples:
$ ./heartbleed www.ibm.com:443
NOT VULNERABLE (TLS Heartbeat extension not supported by the server)
$ ./heartbleed secure.comodo.net:443
NOT VULNERABLE (TLS Heartbeat extension supported by the server)
$ ./heartbleed mail.visservansolkema.nl:443
VULNERABLE!
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Como mencionas, el server donde corre las listas es una versión previa a
la vulnerabilidad por lo que no esta afectado, revisando los repos ya
ubuntu 12.04 y supongo que el resto han subido la versión corregida del
paquete Version: 1.0.1-4ubuntu5.12 en centos debe ser la 1.0.1g si no
me equivoco. Saludos
Carlos R Laguna
NDC REDTINO
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20140412/af867625/attachment.html>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
________________________________________________________________
XII Edicion del Evento Nacional de Informatica para Jovenes. INFOCLUB.
Septiembre. 2014. Ver www.jovenclub.cu
________________________________________________________________
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
