> On 12 Apr 2014, at 11:03, Matijs van Zuijlen <[email protected]> wrote: > >> On 11/04/14 11:20, Winfried Tilanus wrote: >> De beste informatie die ik over heartbleed kon vinden was dit: >> >> http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/ >> >> Over de impact: >> - met heartbleed krijgt een aanvaller een *willekeurig* blok van 64K uit >> het geheugen van de server >> - de aanvaller kan niet sturen welk blok 'ie ontvangt >> - de aanvaller kan de aanval onbeperkt herhalen >> >> Met andere woorden: in potentie kan *ALLES* wat in het geheugen van de >> server zit/zat gecompromitteerd zijn. Dat kunnen read/write caches zijn >> van gegevens op de disk, actieve sessies, sleutels van welke soort dan >> ook, ontsleutelde data, wachtwoorden die op dat moment gecheckt worden, >> wat dan ook. Op het internet zijn inmiddels scripts te vinden die >> blokjes geheugen doorzoeken naar specifiek zaken als (sessie)cookies. > > Hoe zit dat met geheugen dat in gebruik is door andere processen? Je zou > denken > dat daar een zekere mate van afscherming aanwezig is. > Inderdaad, je kan met heartbleed alleen maar geheugen uit het proces met de TLS server lezen, niet van andere processen.
-- Kristof -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
