Vlákno názorů k článku Heartbleed Bug: jak se k chybě v OpenSSL staví české i světové firmy od petrph - A to jako podívat se kam? Ona jedna...

A to jako podívat se kam? Ona jedna věc je co mají úředníci po kancelářích na stolech. A druhá věc co běží na serveru..

Ta otázka přece stojí jinak, běží naše banky na open source? Skoro určitě ne, a pravděpodobně vůbec nejedou na platformách kde se OpenSSL používá. Takže soráč, to co možná napadlo statisíce škudlilů co jedou na Linuxu nebo open source knihovnách ve Windows, to se velkých seriózní společnosti vůbec nemuselo dotknout...

Co to? Tady samozřejmě všichni vědí, jak se té chybě přezdívá. Je to i v názvu článku. Akorát se to píše Heartbleed, to "bleed" není žádná zkratka, ale prostě krvácení. Heartbeat (tlukot srdce) byl špatně implementován, a tak se z toho stalo heartbleed (krvácející srdce).

Ano, klidně tam může být verze 1.0.1e s opravenou chybou. Takto to má například Fedora 19, kde je stále verze 1.0.1e ale s patchem.

Není potřeba doufat, že mají servery tuto chybu opravenou si můžete sám snadno ověřit.

Pokud se použije opatchovaný distribuční balíček, zvýší se jen číslo distribučního updatu (třeba to deb7u6). Verze aplikace se ale samozřejmě změnit nemůže (byl aplikován jen ten jeden patch, nebyly provedeny všechny změny v dané verzi). Tohle číslo distribučního updatu se pak ani nemusí objevit v informaci o verzi, kterou o sobě poskytuje sám program (takže třeba Apache se od OpenSSL může dozvědět jen 1.0.1e, že má Debian ve verzi balíčku ještě -deb7u6 už se nedozví). Pokud by si administrátoři záplatu aplikovali sami, asi nebudou s číslem verze dělat vůbec nic. No a pokud jenom vypnuli při konfiguraci heartbeat, mohou klidně používat původní nezáplatovanou verzi 1.0.1e. Pokud si OpenSSL kompilují sami, připadá mi ta poslední varianta nejbezpečnější.

Podle verze toho moc usuzovat nemůžete, protože prakticky všechny stabilní verze distribucí opravují pouze bezpečnostní chyby, rozhodně neupgradují balíčky na novou verzi.

Např. u Debianu jsou to ta divná čísla a písmena za oficiální verzí: 1.0.1e-2+deb7u6

Netrápí je proto, protože zranitelnost je dána kódem na serveru, nikoli obsahem hlavičky, kterou server vrací. A kód zpracovávající SSL je na klient1 až klient4.rb.cz v pořádku.

Je možné, že hlavička vracená serverem je vymyšlená a server je něco úplně jiného. Je možné, že před serverem je nějaká brána, na které je SSL zakončeno. Je možné, že mají na serveru OpenSSL 1.0.1e s patchem. Je možné, že mají na serveru OpenSSL 1.0.1e s vypnutým heartbeats. Vzhledem k tomu, že servery mají čerstvé certifikáty, tipoval bych si, že servery postižené byly a platí tedy některá z variant s opravenou verzí 1.0.1e.

to flv: :-/

A co se týká OpenSSL, pak mě odpověď dal jiný web, konkrétně zive.cz . Banky u nás OpenSSL nepoužívají. Jiné vyjmenované webové služby, které OpenSSL používají jsou pak dle zive.cz bez problému...

No a jak jsou na tom naše banky?!?