http://filippo.io/Heartbleed/#foro.elhacker.net
:-\ :-\
Ehhh alex, le podrías dar un vistazo a la actualización del open ssl por favor? xD
He movido el post hasta acá (privado) para que nadie comience a molestar tratando de explotar la vulnerabilidad en el foro.
Vamos, esto es grave, estamos hablando de inyección de bites en la memoria del servidor y no se hasta que punto pueda haber la posibilidad de inyectar una shellcode y causar una ejecución de código remoto.
https://www.google.cl/?q=CVE-2014-0160#q=CVE-2014-0160
OpenSSL Security Advisory [07 Apr 2014]
========================================
TLS heartbeat read overrun (CVE-2014-0160)
==========================================
A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.
Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
1.0.2 will be fixed in 1.0.2-beta2.
Nos van a juankearrr AAHHHH!!!!
(http://asianwiki.com/images/0/07/Oh_My_God-0013.jpg)
Con smf 2.0 esto no hubiera pasado xdDDDDDD
el servidor del foro está usando CentOS Linux 6.5 (64 bits), cuando saquen el parche estará arreglado xD
o sea ahora mismo :p
CitarLoaded plugins: fastestmirror
Cleaning repos: base extras updates
Cleaning up Everything
Cleaning up list of fastest mirrors
Loaded plugins: fastestmirror
Determining fastest mirrors
* base: ftp.hosteurope.de
* extras: mirror.softaculous.com
* updates: centos.mirror.linuxwerk.com
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.7 will be an update
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.7 will be an update
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================
Package Arch Version Repository Size
================================================================================
Updating:
openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M
openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M
Transaction Summary
================================================================================
Upgrade 2 Package(s)
Total download size: 2.7 M
Downloading Packages:
--------------------------------------------------------------------------------
Total 40 MB/s | 2.7 MB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Updating : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4
Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4
Verifying : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Verifying : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4
Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4
Updated:
openssl.x86_64 0:1.0.1e-16.el6_5.7 openssl-devel.x86_64 0:1.0.1e-16.el6_5.7
Complete!
.. upgrade complete.
¿Es necesario recompilar el apache?
Sigue saliendo vulnerable... pero ya dice:
CitarThere are load (?) issues causing FALSE NEGATIVES.
Ese mensaje aparecía de antes, es solo un informativo para decir que aunque el servicio diga que tu servidor no es vulnerable igual lo puede ser.
Pero de todas maneras aun dice que es vulnerable xD asi que ni idea si tendrás que recompilar algo o no, talves alguien mas de acá sepa que hacer en este caso. Tardarías mucho en hacerlo de todas maneras?, vamos que me puedo quedar sin foro durante una hora con tal de que quede todo bien :P
Alex, el foro sigue siendo vulnerable
linux-ke9y:/home/carloswaldo/gocode/bin # ./Heartbleed foro.elhacker.net:443
2014/04/08 10:36:49 ([]uint8) {
00000000 02 00 79 68 65 61 72 74 62 6c 65 65 64 2e 66 69 |..yheartbleed.fi|
00000010 6c 69 70 70 6f 2e 69 6f 59 45 4c 4c 4f 57 20 53 |lippo.ioYELLOW S|
00000020 55 42 4d 41 52 49 4e 45 7c 9d df 1e ce 1d 3d d3 |UBMARINE|.....=.|
00000030 18 bf 3a 99 28 33 bb 7c b5 d7 b1 a5 03 03 03 03 |..:.(3.|........|
00000040 c2 a9 a0 cf f8 60 a2 93 6c f8 15 c4 f0 c9 53 7a |.....`..l.....Sz|
00000050 79 64 48 45 e9 32 ec 9a 96 48 a8 23 b9 33 b3 01 |ydHE.2...H.#.3..|
00000060 12 f9 42 35 98 7f 8a 70 ab f0 d2 6a ed 18 f9 38 |..B5...p...j...8|
00000070 66 9c 71 7c cd 22 6b 30 5a 1b db 42 18 fa a5 a6 |f.q|."k0Z..B....|
00000080 36 74 7d 35 0a 44 38 61 58 06 2e e1 |6t}5.D8aX...|
}
2014/04/08 10:36:49 foro.elhacker.net:443 - VULNERABLE
El problema es que aun no han salido las actualizaciones necesarias para algunas distros, la rama openssl 1.0.1e es vulnerable, tienes que instalar >= 1.0.1g o 1.0.2 (en beta)
CitarWhat versions of the OpenSSL are affected?
Status of different versions:
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Era necesario reiniciar el apache para que el parche tome efecto.
http://filippo.io/Heartbleed/#foro.elhacker.net
Prueba ahora Carloswaldo.
CitarAll good, foro.elhacker.net seems not affected!
CitarLoad issues - fix in progress
Load issues (probably) caused many connections to the tested servers to fail randomly and report a FALSE NEGATIVE (green).
Repeated tests will finally yield a red. The red result takes precedence over all the others and is certain. You are given a sample of live server memory as proof.
I'm very sorry about this happening. I'm spinning up more machines for a quick fix, and then rewriting the test to give only positive green.
Meanwhile you can use the command line tool that is completely unaffected.
linux-ke9y:/home/carloswaldo/gocode/bin # ./Heartbleed foro.elhacker.net:443
2014/04/08 11:03:49 foro.elhacker.net:443 - SAFE
Perfecto ;D
es muy dificil explotar el bug.... vamos no imposible, pero hay que tener unos conocimientos elevados de buffer overflow, no es el público habitual de ehn xD
Me refiero que el fallo es grave, pero el 99,9% de la gente no lo sabe explotar.
La noticia es un poco sensacionalista....
CitarAnd further, you won't be able to read the memory of any other process, so those "business critical documents" would need to be in memory of the process, less than 64KB, and be nearby pl.
Un análisis técnico del fallo:
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
En español:
http://blog.elhacker.net/2014/04/grave-vulnerabilida-en-openssl-llamada-Heartbleed-CVE-2014-0160.html
Buf, aunque leo que el verdadero problema no es la memoria (buffer overflow), es que se puede hacer un hijacking de la sesión SSL
Con un simple script puedes dumpear parte de la ram y ver los datos de la sesión (token), ponerlos en una cookie y acceder como otro usuario:
https://gist.github.com/takeshixx/10107280
Ya puedo mover este post al foro original de sugerencias?
sips, claro xD
Además de regalo:
https://www.ssllabs.com/ssltest/analyze.html?d=foro.elhacker.net
(http://i.elhacker.net/i?i=dbzMewlGajC9TAjYiIm_OmVo) (http://i.elhacker.net/d?i=dbzMewlGajC9TAjYiIm_OmVo)
Configuración del Apache ssl.conf
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
Gracias Karcrack por el reporte :)
De nada, siento no haberlo hecho por privado :P
O sea... antes esta mal y ahora no???...
(http://img837.imageshack.us/img837/1573/j79t.png)
Yo no se mucho de estas cosas... por eso me meto en todo a ver si aprendo...
disculpen...
Esto es lo mismo???...
(http://img59.imageshack.us/img59/5540/p2pr.png)
yo ni sabía que ya habían implementado https :(