[elektro] OpenSSL
r3flow
nzoltan at freemail.hu
Tue Apr 15 10:58:10 CEST 2014
On 2014.04.15. 10:06, Arnold Fuzesi wrote:
> Vki el tudja mondani pontosan mi ez a "hiszti"?
> Miert jelszocserere buzditanak mindenhol?
> Bugfix-elt OpenSSL lib ujra general kulcsokat, vagy... ?
> Pontosan hogy is lehet visszaelni a hibaval? Extrem esetben, vagy jatszi konnyedseggel?
Végtelenül egyszerűen lehet visszaélni a hibával, egy megfelelően hibás
csomagot küldesz egy szerver SSL portjára és válaszul egy olyan csomagot
kapsz, amiben a szerver memóriájának egy darabja lesz. Véletlenszerűen.
Azaz olyan mintha lenne egy zsák, benne a szerver memóriája kis
blokkokban, vakon belenyúlsz és húzol egyet. Szerver oldalon nyoma
sincs, sem naplóban sem sehol.
Mivel a szerver memóriában általában kódolatlanul jelen vannak az éppen
belépett felhasználók adatai, jelszó kivonata, és az SSL privát kulcs és
egyéb bizalmas adatok, így elvileg lehetséges, hogy nagyon sok kérést
küldve egy csomó memóriadarabod lesz a szerver memóriájából és ha elég
kitartó vagy némi kombinációval összerakhatsz belőle akár jelszó hast
vagy SSL privát kulcsot.
Ezt van aki kipróbálta, mert sokan azt mondták, hogy baromság sok kis
memóriadarabból értelmes adatot kukázni, de aki kitartó volt, annak
mégis sikerült, méghozzá alig 9 óra alatt kikukázták az SSL privát
kulcsot a teszt szerverből:
http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge
Emiatt minden SSL privát kulcsot érvénytelennek kell tekinteni és minden
jelszót érdemes megváltoztatni.
More information about the Elektro
mailing list