Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
Atenção especial aos servidores rodando FreeBSD, foram os únicos que um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte não é das mais confiáveis (Twitter) [0], mas não vejo razão para que não seja verdadeira. Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais frequentemente =/ [0] https://twitter.com/1njected/status/453781230593769472 [1] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html Peace; Fynn. -- Even a stopped clock is right twice a day - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
Em 10 de abril de 2014 12:57, Enrique Fynn enriquef...@gmail.com escreveu: Atenção especial aos servidores rodando FreeBSD, foram os únicos que um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte não é das mais confiáveis (Twitter) [0], mas não vejo razão para que não seja verdadeira. Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais frequentemente =/ [0] https://twitter.com/1njected/status/453781230593769472 [1] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html Peace; Fynn. Fynn, Pelo que li sobre esse teste feito pelo 1njected, assim que ele inicou o serviço já fez o teste via ssltest.py, ou seja, não tinha muita coisa na memória além da chave privada. Eu acredito que se repetir o teste em qualquer outro SO com openssl vulnerável nas mesmas condições ocorrerá o mesmo problema. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
Em 10 de abril de 2014 13:36, Welkson Renny de Medeiros welk...@gmail.comescreveu: Em 10 de abril de 2014 12:57, Enrique Fynn enriquef...@gmail.comescreveu: Atenção especial aos servidores rodando FreeBSD, foram os únicos que um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte não é das mais confiáveis (Twitter) [0], mas não vejo razão para que não seja verdadeira. Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais frequentemente =/ [0] https://twitter.com/1njected/status/453781230593769472 [1] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html Peace; Fynn. Aproveitando o gancho, lembrei do pfSense que usa HTTPS no WebGUI... No fórum internacional do pfSense a galera está dizendo que várias versões do pfSense estão vulneráveis... eu testei alguns usando esse site [1], e o resultado me mostra o contrário. Acredito que o openssl do pfSense apesar de ser um build vulnerável, foi compilado sem heartbleed. Alguém confirma? [1] http://rehmann.co/projects/heartbeat/ Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
On Qui, 2014-04-10 at 14:20 -0300, Welkson Renny de Medeiros wrote: Em 10 de abril de 2014 13:36, Welkson Renny de Medeiros welk...@gmail.comescreveu: Em 10 de abril de 2014 12:57, Enrique Fynn enriquef...@gmail.comescreveu: Atenção especial aos servidores rodando FreeBSD, foram os únicos que um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte não é das mais confiáveis (Twitter) [0], mas não vejo razão para que não seja verdadeira. Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais frequentemente =/ [0] https://twitter.com/1njected/status/453781230593769472 [1] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html Peace; Fynn. Aproveitando o gancho, lembrei do pfSense que usa HTTPS no WebGUI... No fórum internacional do pfSense a galera está dizendo que várias versões do pfSense estão vulneráveis... eu testei alguns usando esse site [1], e o resultado me mostra o contrário. Acredito que o openssl do pfSense apesar de ser um build vulnerável, foi compilado sem heartbleed. Alguém confirma? [1] http://rehmann.co/projects/heartbeat/ O pfSense 2.1 e 2.1.1 estão vulneráveis, não apenas o https mas também o openvpn e alguns outros serviços que estão linkados com o openssl do ports na versão 1.0.1f. No caso do https, normalmente ele não fica (ou pelo menos não deveria ficar) aberto pra WAN, o que ajuda a mitigar os riscos. A versão 2.1.2 do pfSense está nos finalmentes dos testes e será lançada logo logo. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
Buenas! -Original Message- From: Renato Botelho A versão 2.1.2 do pfSense está nos finalmentes dos testes e será lançada logo logo. https://blog.pfsense.org/?p=1253 Abraços! Jack http://jack.eti.br http://conexti.com http://sys-squad.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
2014-04-08 18:24 GMT-03:00 Renato Botelho rbga...@gmail.com: Forwarded Message From: FreeBSD Security Officer security-offi...@freebsd.org Reply-to: freebsd-secur...@freebsd.org To: FreeBSD Security Advisories security-advisor...@freebsd.org Subject: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug Date: Tue, 8 Apr 2014 20:42:29 GMT Hi, This is a heads-up for the OpenSSL Heartbleed bug. FreeBSD port security/openssl have been patched on 2014-04-07 21:46:40 UTC (head, r350548) and 2014-04-07 21:48:07 UTC (branches/2014Q2, r350549). FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head, r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08 18:27:46 UTC (releng/10.0, r264267). The update is available with freebsd-update. All other supported FreeBSD branches are not affected by this issue. Quando vi o anúncio dessa falha não dei a devida importância, mas ontem já deu para perceber o tamanho do estrago. Conseguiram capturar diversas senhas de usuários do Yahoo, etc. Estava conferindo a versão do OpenSSL no meu sistema: % openssl version -v OpenSSL 0.9.8x 10 May 2012 De acordo com esse site [1] não está vulnerável (mas é bem antiga, talvez tenha outras falhas, não sei). Nesse site [2] tem explicações referente a falha, e nesse [3] e esse [4] explica o bug no código. Para testar se seu site está vulnerável temos esses: [5] [6] [7] Aparentemente o SSH não é vulnerável [8] [1] http://beta.slashdot.org/story/200451 [2] http://heartbleed.com/ [3] http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html?m=1 [4] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html [5] http://possible.lv/tools/hb/ [6] http://filippo.io/Heartbleed/ [7] http://rehmann.co/projects/heartbeat/ [8] Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
Em 9 de abril de 2014 09:04, Welkson Renny de Medeiros welk...@gmail.comescreveu: 2014-04-08 18:24 GMT-03:00 Renato Botelho rbga...@gmail.com: Forwarded Message From: FreeBSD Security Officer security-offi...@freebsd.org Reply-to: freebsd-secur...@freebsd.org To: FreeBSD Security Advisories security-advisor...@freebsd.org Subject: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug Date: Tue, 8 Apr 2014 20:42:29 GMT Hi, This is a heads-up for the OpenSSL Heartbleed bug. FreeBSD port security/openssl have been patched on 2014-04-07 21:46:40 UTC (head, r350548) and 2014-04-07 21:48:07 UTC (branches/2014Q2, r350549). FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head, r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08 18:27:46 UTC (releng/10.0, r264267). The update is available with freebsd-update. All other supported FreeBSD branches are not affected by this issue. Quando vi o anúncio dessa falha não dei a devida importância, mas ontem já deu para perceber o tamanho do estrago. Conseguiram capturar diversas senhas de usuários do Yahoo, etc. Estava conferindo a versão do OpenSSL no meu sistema: % openssl version -v OpenSSL 0.9.8x 10 May 2012 De acordo com esse site [1] não está vulnerável (mas é bem antiga, talvez tenha outras falhas, não sei). Nesse site [2] tem explicações referente a falha, e nesse [3] e esse [4] explica o bug no código. Para testar se seu site está vulnerável temos esses: [5] [6] [7] Aparentemente o SSH não é vulnerável [8] [1] http://beta.slashdot.org/story/200451 [2] http://heartbleed.com/ [3] http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html?m=1 [4] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html [5] http://possible.lv/tools/hb/ [6] http://filippo.io/Heartbleed/ [7] http://rehmann.co/projects/heartbeat/ [8] Welkson Esqueci do [8] http://undeadly.org/cgi?action=articlesid=20140408063423 Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
On Qua, 2014-04-09 at 09:04 -0300, Welkson Renny de Medeiros wrote: 2014-04-08 18:24 GMT-03:00 Renato Botelho rbga...@gmail.com: Forwarded Message From: FreeBSD Security Officer security-offi...@freebsd.org Reply-to: freebsd-secur...@freebsd.org To: FreeBSD Security Advisories security-advisor...@freebsd.org Subject: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug Date: Tue, 8 Apr 2014 20:42:29 GMT Hi, This is a heads-up for the OpenSSL Heartbleed bug. FreeBSD port security/openssl have been patched on 2014-04-07 21:46:40 UTC (head, r350548) and 2014-04-07 21:48:07 UTC (branches/2014Q2, r350549). FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head, r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08 18:27:46 UTC (releng/10.0, r264267). The update is available with freebsd-update. All other supported FreeBSD branches are not affected by this issue. Quando vi o anúncio dessa falha não dei a devida importância, mas ontem já deu para perceber o tamanho do estrago. Conseguiram capturar diversas senhas de usuários do Yahoo, etc. Estava conferindo a versão do OpenSSL no meu sistema: % openssl version -v OpenSSL 0.9.8x 10 May 2012 Só confere se vc não tem outro openssl instalado via ports no /usr/local, se tiver, basta atualizar ele pra 1.0.1.g e re-gerar possiveis certificados gerados com ele. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug]
Forwarded Message From: FreeBSD Security Officer security-offi...@freebsd.org Reply-to: freebsd-secur...@freebsd.org To: FreeBSD Security Advisories security-advisor...@freebsd.org Subject: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug Date: Tue, 8 Apr 2014 20:42:29 GMT Hi, This is a heads-up for the OpenSSL Heartbleed bug. FreeBSD port security/openssl have been patched on 2014-04-07 21:46:40 UTC (head, r350548) and 2014-04-07 21:48:07 UTC (branches/2014Q2, r350549). FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head, r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08 18:27:46 UTC (releng/10.0, r264267). The update is available with freebsd-update. All other supported FreeBSD branches are not affected by this issue. Users who use TLS client and/or server are strongly advised to apply updates immediately. Because of the nature of this issue, it's also recommended for system administrators to consider revoking all of server certificate, client certificate and keys that is used with these systems and invalidate active authentication credentials with a forced passphrase change. Formal security advisories would be announced later today. ___ freebsd-annou...@freebsd.org mailing list http://lists.freebsd.org/mailman/listinfo/freebsd-announce To unsubscribe, send any mail to freebsd-announce-unsubscr...@freebsd.org -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug
A coisa parece que foi séria dessa vez. Mensagem original Assunto:[FreeBSD-Announce] HEADSUP! OpenSSL Heartbleed bug Data: Tue, 8 Apr 2014 20:42:29 GMT De: FreeBSD Security Officer security-offi...@freebsd.org Responder a:freebsd-secur...@freebsd.org Para: FreeBSD Security Advisories security-advisor...@freebsd.org -BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Hi, This is a heads-up for the OpenSSL Heartbleed bug. FreeBSD port security/openssl have been patched on 2014-04-07 21:46:40 UTC (head, r350548) and 2014-04-07 21:48:07 UTC (branches/2014Q2, r350549). FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head, r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08 18:27:46 UTC (releng/10.0, r264267). The update is available with freebsd-update. All other supported FreeBSD branches are not affected by this issue. Users who use TLS client and/or server are strongly advised to apply updates immediately. Because of the nature of this issue, it's also recommended for system administrators to consider revoking all of server certificate, client certificate and keys that is used with these systems and invalidate active authentication credentials with a forced passphrase change. Formal security advisories would be announced later today. -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (FreeBSD) iQIcBAEBCgAGBQJTRF6nAAoJEO1n7NZdz2rnA7AP/jG89g90O5ULI3aXZOeeYH6U /l3Cb5/vUgEQWiG5HO50lID3fJOktTWvwMBs+q7E7vaGJ4icL5kl816Zucj3cI8j H4JZZVYWbY1cBET2sNAxz5+XqGvERL8LUj8+hvVxo5L071plAbiucnvisx4K9Vyd IQryUOvRwxUUbmOXIVbfPLoY4VJFT+fDMxEXjeOh3vFWXftg5v4KaB9jYCRKBiAo BTEKlU1/bVjkJ4sU5ApavMOuyeqqOPTxLpqs6+9bsPUsBoiMR1LyxrWW9tWPb/x+ LKoLwwkHwjHmrCx9ob/L5jNtOiLeFAsN/Rvox8eLLCb2VRe90dkMKazAJCGT/Shf DKRo4jlRCVqmHofc96+bWBGDGHvTT7xY3MZQYU9IEHIXSzAgxykXmyYSdIDm6bxk tsladfGEpKNzpwQXbuzLFXjl0nd87P1ZcPh+cDprP4+b68knfAXDIF/ca7mVD00B PTIUmXOSuvmYfhQyY4lurB3vjbWoJv06JkYJRe4luPyZiEulw7PNNPqR0BqR4vPX R9VhOhDhXn1AJcF8urTMIwZ3tGyhwWbOjqOgAdI9jW4gTTtXqwwesWhjX0ZghzRf Pqs9T7IrZ4pNvfHBETSc7JN/9kpspTEm/a2tUalEIKIErSxmaOAWUTethrjf3lyd kNC30mma046jR7E4/ccB =J3Tm -END PGP SIGNATURE- ___ freebsd-annou...@freebsd.org mailing list http://lists.freebsd.org/mailman/listinfo/freebsd-announce To unsubscribe, send any mail to freebsd-announce-unsubscr...@freebsd.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
