Re: Gnupg key en OpenSSL problemen
> On 12 Apr 2014, at 11:03, Matijs van Zuijlen <matijs@matijs.net> wrote:
>
>> On 11/04/14 11:20, Winfried Tilanus wrote:
>> De beste informatie die ik over heartbleed kon vinden was dit:
>>
>> http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
>>
>> Over de impact:
>> - met heartbleed krijgt een aanvaller een *willekeurig* blok van 64K uit
>> het geheugen van de server
>> - de aanvaller kan niet sturen welk blok 'ie ontvangt
>> - de aanvaller kan de aanval onbeperkt herhalen
>>
>> Met andere woorden: in potentie kan *ALLES* wat in het geheugen van de
>> server zit/zat gecompromitteerd zijn. Dat kunnen read/write caches zijn
>> van gegevens op de disk, actieve sessies, sleutels van welke soort dan
>> ook, ontsleutelde data, wachtwoorden die op dat moment gecheckt worden,
>> wat dan ook. Op het internet zijn inmiddels scripts te vinden die
>> blokjes geheugen doorzoeken naar specifiek zaken als (sessie)cookies.
>
> Hoe zit dat met geheugen dat in gebruik is door andere processen? Je zou denken
> dat daar een zekere mate van afscherming aanwezig is.
>
Inderdaad, je kan met heartbleed alleen maar geheugen uit het proces met de TLS server lezen, niet van andere processen.
--
Kristof
Reply to: