[URGENTE] elhacker.net vulnerable

Iniciado por Karcrack, 8 Abril 2014, 10:48 AM

0 Miembros y 1 Visitante están viendo este tema.

Karcrack


WHK

#1
Ehhh alex, le podrías dar un vistazo a la actualización del open ssl por favor? xD

He movido el post hasta acá (privado) para que nadie comience a molestar tratando de explotar la vulnerabilidad en el foro.

Vamos, esto es grave, estamos hablando de inyección de bites en la memoria del servidor y no se hasta que punto pueda haber la posibilidad de inyectar una shellcode y causar una ejecución de código remoto.

https://www.google.cl/?q=CVE-2014-0160#q=CVE-2014-0160

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

WHK

Nos van a juankearrr AAHHHH!!!!



Con smf 2.0 esto no hubiera pasado xdDDDDDD

el-brujo

el servidor del foro está usando CentOS Linux 6.5 (64 bits), cuando saquen el parche estará arreglado xD

o sea ahora mismo :p

CitarLoaded plugins: fastestmirror
Cleaning repos: base extras updates
Cleaning up Everything
Cleaning up list of fastest mirrors
Loaded plugins: fastestmirror
Determining fastest mirrors
* base: ftp.hosteurope.de
* extras: mirror.softaculous.com
* updates: centos.mirror.linuxwerk.com
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.7 will be an update
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.7 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
Package             Arch         Version                   Repository     Size
================================================================================
Updating:
openssl             x86_64       1.0.1e-16.el6_5.7         updates       1.5 M
openssl-devel       x86_64       1.0.1e-16.el6_5.7         updates       1.2 M

Transaction Summary
================================================================================
Upgrade       2 Package(s)

Total download size: 2.7 M
Downloading Packages:
--------------------------------------------------------------------------------
Total                                            40 MB/s | 2.7 MB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction

  Updating   : openssl-1.0.1e-16.el6_5.7.x86_64                             1/4

  Updating   : openssl-devel-1.0.1e-16.el6_5.7.x86_64                       2/4

  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                       3/4

  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                             4/4

  Verifying  : openssl-1.0.1e-16.el6_5.7.x86_64                             1/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.7.x86_64                       2/4

  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                             3/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                       4/4

Updated:
  openssl.x86_64 0:1.0.1e-16.el6_5.7  openssl-devel.x86_64 0:1.0.1e-16.el6_5.7

Complete!

.. upgrade complete.

¿Es necesario recompilar el apache?

Sigue saliendo vulnerable... pero ya dice:

CitarThere are load (?) issues causing FALSE NEGATIVES.

WHK

Ese mensaje aparecía de antes, es solo un informativo para decir que aunque el servicio diga que tu servidor no es vulnerable igual lo puede ser.

Pero de todas maneras aun dice que es vulnerable xD asi que ni idea si tendrás que recompilar algo o no, talves alguien mas de acá sepa que hacer en este caso. Tardarías mucho en hacerlo de todas maneras?, vamos que me puedo quedar sin foro durante una hora con tal de que quede todo bien :P

Carloswaldo

Alex, el foro sigue siendo vulnerable

Código (bash) [Seleccionar]
linux-ke9y:/home/carloswaldo/gocode/bin # ./Heartbleed foro.elhacker.net:443
2014/04/08 10:36:49 ([]uint8) {
00000000  02 00 79 68 65 61 72 74  62 6c 65 65 64 2e 66 69  |..yheartbleed.fi|
00000010  6c 69 70 70 6f 2e 69 6f  59 45 4c 4c 4f 57 20 53  |lippo.ioYELLOW S|
00000020  55 42 4d 41 52 49 4e 45  7c 9d df 1e ce 1d 3d d3  |UBMARINE|.....=.|
00000030  18 bf 3a 99 28 33 bb 7c  b5 d7 b1 a5 03 03 03 03  |..:.(3.|........|
00000040  c2 a9 a0 cf f8 60 a2 93  6c f8 15 c4 f0 c9 53 7a  |.....`..l.....Sz|
00000050  79 64 48 45 e9 32 ec 9a  96 48 a8 23 b9 33 b3 01  |ydHE.2...H.#.3..|
00000060  12 f9 42 35 98 7f 8a 70  ab f0 d2 6a ed 18 f9 38  |..B5...p...j...8|
00000070  66 9c 71 7c cd 22 6b 30  5a 1b db 42 18 fa a5 a6  |f.q|."k0Z..B....|
00000080  36 74 7d 35 0a 44 38 61  58 06 2e e1              |6t}5.D8aX...|
}

2014/04/08 10:36:49 foro.elhacker.net:443 - VULNERABLE


El problema es que aun no han salido las actualizaciones necesarias para algunas distros, la rama openssl 1.0.1e es vulnerable, tienes que instalar >= 1.0.1g o 1.0.2 (en beta)

CitarWhat versions of the OpenSSL are affected?

Status of different versions:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

el-brujo

Era necesario reiniciar el apache para que el parche tome efecto.

http://filippo.io/Heartbleed/#foro.elhacker.net

Prueba ahora Carloswaldo.

CitarAll good, foro.elhacker.net seems not affected!



CitarLoad issues - fix in progress

Load issues (probably) caused many connections to the tested servers to fail randomly and report a FALSE NEGATIVE (green).

Repeated tests will finally yield a red. The red result takes precedence over all the others and is certain. You are given a sample of live server memory as proof.

I'm very sorry about this happening. I'm spinning up more machines for a quick fix, and then rewriting the test to give only positive green.

Meanwhile you can use the command line tool that is completely unaffected.

Carloswaldo

linux-ke9y:/home/carloswaldo/gocode/bin # ./Heartbleed foro.elhacker.net:443
2014/04/08 11:03:49 foro.elhacker.net:443 - SAFE


Perfecto ;D

el-brujo

#8
es muy dificil explotar el bug.... vamos no imposible, pero hay que tener unos conocimientos elevados de buffer overflow, no es el público habitual de ehn xD

Me refiero que el fallo es grave, pero el 99,9%  de la gente no lo sabe explotar.

La noticia es un poco sensacionalista....

CitarAnd further, you won't be able to read the memory of any other process, so those "business critical documents" would need to be in memory of the process, less than 64KB, and be nearby pl.

Un análisis técnico del fallo:
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

En español:
http://blog.elhacker.net/2014/04/grave-vulnerabilida-en-openssl-llamada-Heartbleed-CVE-2014-0160.html

Buf, aunque leo que el verdadero problema no es la memoria (buffer overflow), es que se puede hacer un hijacking de la sesión SSL

Con un simple script puedes dumpear parte de la ram y ver los datos de la sesión (token), ponerlos en una cookie y acceder como otro usuario:

https://gist.github.com/takeshixx/10107280

WHK

Ya puedo mover este post al foro original de sugerencias?