UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
- Oficjalny przedstawiciel projektu
- Posty: 141
- Rejestracja: 7 października 2013
- Reputacja: 7
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: NevBit » wtorek, 8 kwietnia 2014, 15:07
Giełda BTC/PLN, LTC/PLN
NevBit
- Wygadany
- Posty: 586
- Rejestracja: 1 sierpnia 2011
- Reputacja: 3
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: kactech » wtorek, 8 kwietnia 2014, 15:09
---
M. Green - dev. Zerocoin, zwraca uwagę na małą ilość deweloperów, "OpenSSL w dzisiejszych czasach to dwóch gości i kundel".@matthew_d_green pisze:Hey companies that use OpenSSL: how many $$ have you spent recovering from Heartbleed? Why not fund OpenSSL so it doesn't happen again?
bitowe.info - agregator wiadomości ze świata BTC
ToxID: 8013F26F9CFE8B3B979EE313EBD866D9D4F1D426501711C1CC80A14B7031EF53092C1A2B3C9A
kactech
- Weteran
- Posty: 1684
- Rejestracja: 6 czerwca 2012
- Reputacja: 1
- Lokalizacja: Kraków
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: virus » wtorek, 8 kwietnia 2014, 15:17
polecam wszystkim co uzywaja OpenVPN do resetu VPN-ow po upgrade
serwery pocztowe takze
virus
- Dyskutant
- Posty: 241
- Rejestracja: 22 lutego 2011
- Reputacja: 0
- Lokalizacja: Dolnośląskie, Polska
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: M4v3R » wtorek, 8 kwietnia 2014, 15:18
Kod: Zaznacz cały
$~ python ssltest.py btcidea.eu
...
Received heartbeat response:
...
logowanie=true&tab%5Busername%5D=miminsmart
1%40gmail.com&tab%5Bpassword%5D=*******&..
M4v3R
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: ShadowOfHarbringer » wtorek, 8 kwietnia 2014, 15:22
OpenSSL/OpenVPN już przekompilowałem na wszystkich serwerach. Ufffff....virus pisze:oprocz tego ze daje to klucze to za bardzo niewiele zdziala...
polecam wszystkim co uzywaja OpenVPN do resetu VPN-ow po upgrade
serwery pocztowe takze
Dodam jeszcze, że nody TORa także są zagrożone... (też już swoje przekompilowałem).
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Admin
- Posty: 10322
- Rejestracja: 13 sierpnia 2011
- Reputacja: 5182
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: Bitmar » wtorek, 8 kwietnia 2014, 15:22
Bitmar
- Rozmowny
- Posty: 93
- Rejestracja: 13 kwietnia 2013
- Reputacja: 18
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: MrLei » wtorek, 8 kwietnia 2014, 15:22
Takie dziury są zawsze na początku sprzedawane za bardzo duże kwoty w tor...
MrLei
- Wygadany
- Posty: 621
- Rejestracja: 6 lipca 2011
- Reputacja: 2
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: fun » wtorek, 8 kwietnia 2014, 15:52
Niestety wśród różnych dystrybucji pomstuje różne wersjonowanie paczek, więc nie można polegać na ogólnym stwierdzeniu, że wersja z 'g' jest ok.
Warto przed upgradem paczki z repo i po porównać sobie "openssl version -a" i poszukać "built on".
Wersje odporne powinny być zbudowane >= 7.04.2014.
fun
- Rozmowny
- Posty: 88
- Rejestracja: 1 września 2011
- Reputacja: 1
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: platorin » środa, 9 kwietnia 2014, 14:31
platorin
- Weteran
- Posty: 3621
- Rejestracja: 11 grudnia 2012
- Reputacja: 193
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: hanti » środa, 9 kwietnia 2014, 14:55
hanti
- Rozmowny
- Posty: 100
- Rejestracja: 25 grudnia 2011
- Reputacja: 0
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: fsm » środa, 9 kwietnia 2014, 15:34
zagrożenie dla giełd/kantorów/sklepów/kopalni (to jeśli chodzi o samą sieć bitcoin) - też nie jest takie wielkie
bo
- standardowo klient bitcoina nie używa SSL , nie odpowiada na zlecenia SSL więc raczej nie można
- standardowo klient nie przyjmuje poleceń RPC z zewnętrznych adresów ip (chyba że ktoś to celowo zrobi)
- nawet podsłuchanie fragmentu pamięci,daje max 64 kilo, a i to prawdopodobnie tylko do fragmentu pamięci aplikacji podsłuchiwanej, a nie całego systemu. jeśli nie tylko fragmentu pamięci w bibliotece libopenssl
to szczerze mówiąc więcej giełd i systemów zostało okadzonych przy okazji innych błędów, niż tego osławionego w OpenSSL
oczywiście warto tak czy inaczej zaktualizować wszystko co się da, ale sianie przesadnej paniki to chyba przesada.
fsm
- Dyskutant
- Posty: 241
- Rejestracja: 22 lutego 2011
- Reputacja: 0
- Lokalizacja: Dolnośląskie, Polska
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: M4v3R » środa, 9 kwietnia 2014, 15:37
M4v3R
- Rozmowny
- Posty: 100
- Rejestracja: 25 grudnia 2011
- Reputacja: 0
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: fsm » środa, 9 kwietnia 2014, 15:46
Wszystkie sensowne giełdy / kantory/ kopalnie czy cokolwiek powinny posiadać dodatkowe zabezpieczenia,M4v3R pisze:@fsm: Czytałeś co napisałem wcześniej? Jeśli serwer był nie spatchowany można było wyciągnąć z niego niezaszyfrowane loginy i hasła użytkowników, a co za tym idzie - wyciągnąć ich fundusze. Tylko dodatkowe zabezpieczenia (limity wypłat, 2-factor) mogły ich uratować.
jeśli nie posiadają to kasę można z nich wyciągnąć na kilka innych sposobów.
Te które znam w sumie mają.
może warto tutaj przy okazji zrobić taki audyt, która teoretycznie giełda tak na prawdę pozwalała na wypłatę kasy za pomocą tego błedu - np bitcurex chyba jest odporny, nawet poznanie hasła usera niewiele daje
Może inaczej która giełda teoretycznie po poznaniu loginu i hasła (za pomocą ssl, włamu na maila, trojana /keylogera) do konta umożliwi na wypłacenie z niej kasy na nowy adres ?
chyba żadna ? adres trzeba zmienić ?a tego raczej się nie zrobi bez dostępu co najmniej do skrzynki pocztowej
Nie mówię, że to nie jest grożne, ale aby ktoś mógł ukraść kasę, to musi się złożyć kilka innych rzeczy i giełda musi byś ogólnie słabo zabezpieczona.
fsm
- Rozmowny
- Posty: 88
- Rejestracja: 1 września 2011
- Reputacja: 1
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: platorin » środa, 9 kwietnia 2014, 15:54
Wszystkiego dobrego i powodzenia!
Plato
platorin
- Gaduła
- Posty: 443
- Rejestracja: 12 lipca 2013
- Reputacja: 18
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: alex69 » czwartek, 10 kwietnia 2014, 22:49
padają sugestie by czymprędzej powymieniać klucze do handlu api
alex69
- Gaduła
- Posty: 335
- Rejestracja: 5 czerwca 2013
- Reputacja: 0
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: Hamsta » piątek, 11 kwietnia 2014, 23:18
http://technologie.gazeta.pl/internet/1 ... SlotII3img
Hamsta
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: ShadowOfHarbringer » czwartek, 24 kwietnia 2014, 15:23
Informacje pochodzą z "anonimowych źródeł". Nie ma pewności, że NSA naprawdę wiedziała o tej luce od lat...Hamsta pisze:Sprawa staje się ciekawsza gdy okazuje się, że amerykańskie NSA łapie hasła przez tą dziurę od lat
http://technologie.gazeta.pl/internet/1 ... SlotII3img
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Moderator
- Posty: 2715
- Rejestracja: 19 maja 2013
- Reputacja: 220
Re: Odp: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: GetBitCoin_pl » czwartek, 24 kwietnia 2014, 15:47
| Złoto, srebro i diamenty za BTC Flyingatom.gold
GetBitCoin_pl
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Re: Odp: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: ShadowOfHarbringer » czwartek, 24 kwietnia 2014, 22:12
Cóż... Miejmy nadzieję, że devy OpenBSD zrobią z tym porządek...GetBitCoin_pl pisze:Snowden juz dawno mówił, że NSA ma 10 luk na SSL, także oni załatali jedno a NSA korzysta z drugiej.
EDIT:
Ale ta może była najbardziej krytyczna, bo nie zostawiała żadnych śladów i nawet SELinux/Grsec na nią nie pomagał. Mam nadzieję, że inne luki są mniej poważne.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Gaduła
- Posty: 394
- Rejestracja: 12 kwietnia 2013
- Reputacja: 1
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: kolkin » piątek, 6 czerwca 2014, 12:18
źródło: CERT
oraz
http://www.openssl.org/news/secadv_20140605.txt
kolkin
- Poprzednia
- 1
- 2
- 3
- 4
- Następna
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).