問題タブ [heartbleed-bug]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - ログイン試行による SSH ヘイワイヤー - Heartbleed?
私の(Snow Leopard)Mac Miniで最近見たもの/var/log/secure.log:
これらもたくさんあります:
すべてが 2 月 6 日頃に始まり、2 月 20 日まで続きます。2 月 20 日、私はそれを発見し、ルーターのポート 22 転送を無効にしました。試みは多くの IP アドレス、中国、北アメリカ、神のみぞ知るところから来ていますが (すべてをチェックしたわけではありません)、ここに示すように、アップは常に長いセッションにグループ化されています。メガバイト相当。ログインが成功したことを示す兆候はないようです -- 私は非標準のユーザー名を持っています -- しかし、ここで私が心配している面白い部分があります...
特定の 2 つ目のアカウントにログインできなかったので、わざわざログを確認しただけでした。パスワードが変更されていたのです。イライラして、root でログインしようとしましたが、root のパスワードも変更されていました。ただし、常にログインしている通常のユーザー ログインのパスワードは変更されていませんでした。
パスワードを修正し、ルートを実行するには通常どおりシングルユーザーにする必要がありました。それ以外はすべて正常に思えますが、パスワードの変更は私を不安にさせました。誰かがこの種のことを聞いたことがありますか?ハッキングされたかどうかを知る方法はありますか?
とても感謝しております。
openssl - openssl 引数を表示する
ハートブリード openssl の脆弱性のため、openssl をソースからコンパイルする必要があります。ただし./config、最新の openssl に同じものを使用できるように、フェーズで渡された引数を知りたいです。
この詳細を取得するには、どのコマンドを使用すればよいですか?
サイトの SSL 証明書を再生成する必要がありますか?
java - 標準の Java は、最近のオープン ssl ハートビートの欠陥のような memcpy のセキュリティ欠陥の影響を受けませんか?
最近、ライブラリ openssl に重大な欠陥があり、攻撃者が最大 64KB のメモリを読み取ることができることが明らかになりました。
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
原因は、memcpy の使用と、攻撃者から提供された入力のサイズをクロス チェックしていないことが原因のようです。
標準ライブラリ (C を呼び出していない) を仮定すると、Java はこれらのタイプのセキュリティ上の欠陥の影響を受けないでしょうか?
セキュリティ上の欠陥の種類についてより具体的に言うと、ユーザー入力の信頼について言及しているのではなく、具体的には制限されたメモリ アクセスについて言及しています。
security - GitLab Omnibus SSL 脆弱性 (Heartbleed)
Ubuntu 12.04 LTE にomnibus パッケージ経由で GitLab 6.6.5 をインストールしました。私の質問は、Ubuntu OpenSSL ハートブリード アップデートが GitLab のインストールをカバーするかどうかです。インストールには、組み込みの nginx がインストールされています。GitLab Omnibus Merge Request #66で SSL を有効にしました。
security - AWS、特にロード バランサー サービスは SSL の「Heart Bleed」エクスプロイトの影響を受けますか?
彼らが使用しているバージョンに関する情報が見つかりません。これはかなり大したことなので、AWS がこれについて声明を出すことを期待していますが、やはり何も見つかりません。
私自身の質問に答えるには、はい、脆弱です。このサイトを使用してテストします。
iis - Windows Server 2012 R2 と IIS は Heartbleed エクスプロイトの影響を受けますか?
「OpenSSL 1.01 — 影響を受ける製品版の 1 つ — は 2012 年 3 月 12 日から出荷されていました」
これ (上記) は、1 か月前に注文した Windows 2012 R2 サーバーが IIS で HTTPS サイトを実行していて、Heartbleed 攻撃に対して脆弱であることを意味しますか?
このサイトhttp://filippo.io/Heartbleed/を使用して、サーバーが脆弱かどうかを確認することを提案する投稿を読みましたが、応答がないため、おそらく現在大量のヒットが発生しています。
ssl - heartbleed - SSL 証明書を失効または再キー化しますか?
openSSL ハートブリードの問題と解決策に関して、既存の SSL 証明書を取り消すか、キーを再設定する必要がありますか?
ssl - SSL/TLS HeartBleed の脆弱性
キーストアとトラストストアを使用して、Java アプリケーションで SSL 経由で Https と Tcp を使用しています。Java keytool によって生成された自己署名証明書を使用します。openSSL での HeartBleed の脆弱性について知りました。Java 側から実装を変更する必要がありますか、それとも安全な側にいますか。誰でも詳細を教えてください。