Vlákno názorů k článku
Závažná chyba v OpenSSL umožňuje získat privátní klíč
od Sten - Vyžaduje to úspěšné přihlášení na kompromitovaný SSH server,...
-
Ondřej CaletkaZlatý podporovatelTo je asi omyl… Tahle chyba se týká knihovny OpenSSL, tedy například všech HTTPS služeb. A většina z nich nevyžaduje autentizaci klienta.
-
Pozor, dopustil jste se poměrně nebezpečného zjednodušení. Používá-li jakýkoli SSL server (zejména tedy webservery, ale i OpenSSH a OpenVPN a další) zranitelnou OpenSSL knihovnu, je paměť serverového procesu jednoduše volně čitelná komukoli v internetu bez jakékoli potřeby autentizace.
Snadno lze tedy kompromitovat privátní klíč serveru, s jehož pomocí je pak možno například:
1) Provést nedetekovatelný MITM (pracné)
2) Dešifrovat jakoukoli zachycenou komunikaci serveru s libovolným klientem (v době různých veřejných WiFi často triviální)
3) Za chodu přečíst kompletní obsah paměti (uživatele, hesla, session klíče, cokoli, kvůli čemu se vůbec TLS používá) serverového procesu (tedy pokud jeden proces, řekněme Apache s mpm_worker, obsluhuje spojení pro řadu klientů, lze najednou získat data všech relací).Jinak řečeno, všechny serverové certifikáty, které byly používány pro službu stojící nad zranitelnou OpenSSL, je nutné považovat za kompromitované a vyměnit. Exploituje to snadno školák během pár minut.
-
Fish (neregistrovaný)
Tohle neni uplne pravda. OpenSSH sice pouziva openssl knihovnu, ale ne na vlastni komunikaci. Takze primarne neni kde pouzit utok na hearbeat. Host-key OpenSSH by tedy "mel byt" podle me v bezpeci, nechavam stranou jestli se k nemu dalo dostat oklikou pres napadeni jine sluzby.
