[gl-como] SSL bug
Pietro Bertera
pietro@bertera.it
Mer 9 Apr 2014 17:51:26 CEST
2014-04-09 17:05 GMT+02:00 Federico Zappa <franto@aquavitae.it>:
> Qualcuno me la spiega in parole per umani?
Praticamente a causa di quel baco il processo che usa SSL manda delle
informazioni di troppo nel socket,
Queste informazioni arrivano dalla memoria del processo e possono
potenzialmente contenere dati in chiaro, chiavi di autenticazione,
ecc..
Ci sono già vari exploit che estraggono i session id delle sessioni
HTTP oppure credenziali di accesso..
Il baco ha affetto circa 2 anni di rilasci di OpenSSL, e non lascia
nessuna traccia nei log o altro..
Come si suol dire è un bel padulo..
--
Bertera Pietro
http://www.bertera.it
Maggiori informazioni sulla lista
gl-como