А что кстати нет поста про Heartbleed (mega OpenSSL bug)?
Знатный фейл, что сказать. Вчера был тот еще цирк с патченьем всего, что движется...
в h&s был
ага, щас прочитал, спросил у админов, сказали - тоже вчера патчили 
А сертификаты обновляете?
Да, все что можно меняли.
Причем сейчас, когда баг известен и есть патч, наверняка будут атакованы все, кто не пропатчился.
Оставить комментарий
bleyman
http://www.reddit.com/r/programming/comments/22ghj1/the_hear...тлдр: в протоколе SSL есть функция heartbeat, ping по-нашему. Ты серверу говоришь, "если живой, пошли мне обратно эти байты". Сервер с уязвимой версией библиотеки не проверяет что длина "этих байтов" меньше длины самой посылки, и радостно посылает обратно сколько попросишь (до 65536 байтов) своей памяти, после того места куда он положил посылку. В этой памяти могут лежать дико интересные вещи, вроде логинов/паролей/session cookies из соседних сессий, секретный ключ от сертификата сайта, вся фигня, короче.
Скрипт для питона2.7 который это делает: http://pastebin.com/WmxzjkXJ, можно поменять "40 00" на "FF FF" в "hb = h2bin(..." чтобы вытаскивать все доступные 65к, алсо пример непропатченного на данный момент сервера: tooezzy.com (понятия не имею, что это).