[gl-como] SSL bug

Pietro Bertera pietro@bertera.it
Mer 9 Apr 2014 17:51:26 CEST


2014-04-09 17:05 GMT+02:00 Federico Zappa <franto@aquavitae.it>:
> Qualcuno me la spiega in parole per umani?

Praticamente a causa di quel baco il processo che usa SSL manda delle
informazioni di troppo nel socket,
Queste informazioni arrivano dalla memoria del processo e possono
potenzialmente contenere dati in chiaro, chiavi di autenticazione,
ecc..

Ci sono già vari exploit che estraggono i session id delle sessioni
HTTP oppure credenziali di accesso..

Il baco ha affetto circa 2 anni di rilasci di OpenSSL, e non lascia
nessuna traccia nei log o altro..

Come si suol dire è un bel padulo..

-- 
Bertera Pietro
http://www.bertera.it


Maggiori informazioni sulla lista gl-como