yurm (OP)
|
|
April 08, 2014, 02:22:39 PM |
|
Уязвимые на данный момент версии: 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1, 1.0.2-beta1.
Эта уязвимость затрагивает множество программ, не только Tor — каждый, кто запускает https-сервер или клиент может быть потенциальным противником или жертвой: возможна утечка памяти всех процессов, использующих OpenSSL (например веб-сервера, VPN и др). Если вам нужна стойкая анонимность и приватность в интернете, то стоит подумать о прекращении использования интернета на ближайшие несколько дней до исправления уязвимости. Как сообщают разработчики OpenSSL, им удалось обнаружить и устранить критическую уязвимость в популярной криптографической библиотеке. Согласно опубликованному экспертами бюллетеню безопасности , причиной появления бреши послужило отсутствие проверки границ данных в компоненте Heartbeat , который используется протоколом TLS/DTLS.
Стоит отметить, что уязвимость позволяет потенциальному злоумышленнику удаленно получить неограниченный доступ к оперативной памяти системы, использующей OpenSSL. Атакующий может раскрыть любую информацию, которая должна передаваться в зашифрованном виде, не оставляя при этом никаких следов компрометации.
Исследователи также отмечают, что данная брешь присутствовала в OpenSSL с марта 2012 года, когда была выпущена версия 1.0.1. В связи с этим разработчики настоятельно рекомендуют не только обновить библиотеку до актуальной версии 1.0.1g, но и обновить используемые в настоящий момент секретные ключи и сертификаты. Пока не разобрался, влияет ли эта уязвимость на кошельки (OpenSSL большинством из них используется), однако рекомендую быть готовым к срочному переводу своих койнов на свежесгенерированные адреса (причём не из пула заранее сгенерированных адресов, лучше создать полностью новый кошелёк).
|
BTC donation:1DPUVJWeN2CNgJvRx5MtbsYWnFsKHxXWrc
|
|
|
|
|
|
|
|
The forum was founded in 2009 by Satoshi and Sirius. It replaced a
SourceForge forum.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
Vicus
|
|
April 08, 2014, 03:42:28 PM |
|
Уязвимость актуальна для серверов, использующих TLS. Атакующий может "попросить" отправлять в Heartbeat кусок дампа памяти приложения до 64кб, которое работает по SSL/TLS. В дампе естественно можно выловить пароли/сертификаты и др. полезную инфу. Уязвинмость двухсторонняя. Так что если браузер использует уязвимую версию openssl, то атакующий может при установке соединения с сервером полазить в памяти процесса браузера. Вангую очередные "банкротства" недобирж... либо по тупости - не обновившихся и не заменивших (и отозвавших старые) сертификаты; либо на волне этой уязвимости заскамят ваши денежки... как это провернул mtgox.
|
|
|
|
m0Ray
|
|
April 08, 2014, 08:09:12 PM |
|
Я лично высрал тонну кирпичей. Это ахтунг и алярма.
|
|
|
|
kamillo
Newbie
Offline
Activity: 56
Merit: 0
|
|
April 08, 2014, 09:31:59 PM |
|
Это реально жесть и куча гемора админам. Чувствую скоро появятся "веселые" новости ( Posted from Bitcointa.lk - #m9MyYAzvpPo1Kffo
|
|
|
|
kamillo
Newbie
Offline
Activity: 56
Merit: 0
|
|
April 08, 2014, 09:34:44 PM |
|
All good, bitcointalk.org seems not affected! Хоть тут порядок Posted from Bitcointa.lk - #fdtPv5NJhrQT39zV
|
|
|
|
fsb4000
Legendary
Offline
Activity: 1400
Merit: 1000
|
|
April 08, 2014, 09:42:55 PM |
|
скоро будет 0.9.1, где будет исправлен этот баг... http://newsbtc.com/2014/04/08/gavin-andresen-expect-bitcoin-core-0-9-1-release-soon-heartbleed-openssl-bug/А вот что с форками на которые уже забили разработчики, но которые ещё живы и торгуются на биржах?? Хотя вроде не так всё страшно The vulnerability does not affect the bitcoin protocol or wallet. It may affect auxilary usage of TLS in RPC-over-SSL and when fetching payment requests over HTTPS.
Not a big deal, but we are going to release a 0.9.1 that updates OpenSSL (see pull #4023 if you want to test) and fixes some other minor issues from 0.9.0.
|
|
|
|
m0Ray
|
|
April 08, 2014, 10:19:37 PM |
|
Скоро (в репах) будет 1.0.1g, где он пофиксен. Ветка 0.9 не затронута.
|
|
|
|
fsb4000
Legendary
Offline
Activity: 1400
Merit: 1000
|
|
April 08, 2014, 10:42:50 PM |
|
|
|
|
|
Sundoor
|
|
April 09, 2014, 12:58:49 AM |
|
так эта уязвимость не только кошельки затрагивает но и по сути весь современный "защищенный" интернет
|
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
April 09, 2014, 04:22:57 AM |
|
А не у кого нету ощющения, что АНБ уже просто издевается не только над чайниками и правительствами, но и над программистами? (если конечно эту криворукую быдломассу что-то как-то там калякающими на квазиассемблере можно называть программистами) PS ну че, дети, нормальные языки-то учить будем, или будете ждать пока все недобиржи обчистят? (впрочем я смотрю даже это на пользу не идет, пофигизм и криворукость похоже не лечаться) http://www.ada-ru.org/PPS ну че поняли теперь почему я хочу сделать отдельный форк базовых монет для color coin?..
|
|
|
|
apxu
Member
Offline
Activity: 229
Merit: 13
|
|
April 09, 2014, 01:37:59 PM |
|
либо на волне этой уязвимости заскамят ваши денежки... как это провернул mtgox. http://www.youtube.com/watch?v=x4C5E_eBXj8А не у кого нету ощющения, что АНБ уже просто издевается не только над чайниками и правительствами, но и над программистами? (если конечно эту криворукую быдломассу что-то как-то там калякающими на квазиассемблере можно называть программистами) PS ну че, дети, нормальные языки-то учить будем, или будете ждать пока все недобиржи обчистят?
Нет ощущения, что смена языка кардинально повлияет на качество кода. Да, перейдя с С++ на Java и обратно на C++ мне показалось, что я уловил чем одно лучше другого. Но в целом - программирование это "ручной" труд, который плохо автоматизируется и следовательно подвержен "человеческому фактору"
|
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
April 09, 2014, 09:32:29 PM |
|
А не у кого нету ощющения, что АНБ уже просто издевается не только над чайниками и правительствами, но и над программистами? (если конечно эту криворукую быдломассу что-то как-то там калякающими на квазиассемблере можно называть программистами) PS ну че, дети, нормальные языки-то учить будем, или будете ждать пока все недобиржи обчистят?
Нет ощущения, что смена языка кардинально повлияет на качество кода. Да, перейдя с С++ на Java и обратно на C++ мне показалось, что я уловил чем одно лучше другого. Но в целом - программирование это "ручной" труд, который плохо автоматизируется и следовательно подвержен "человеческому фактору" а смысл менять шило на мыло? Ни на Ц, ни на жабе/Ц# код все равно толком не читаем! А вот в переводе всего open source на Аду(ну и Q&S еще заставить читать как отче наш, если по-хорошему не понимают) смысл есть - в этом случае уже НАРОД сможет там разобраться, и исправлять ошибки и чистить закладки сам! Доходит суть? А счас от опенсорса пользы вообще никакой(разве что в халяве - кстати программисты на меня обижаются когда я называю все гнусное кучей бесплатного хлама) - все равно там никто вообще не понимает что написано, и можно в наглую у всех на виду засунуть любую закладку, что похоже АНБ и делает... Vladimir PS проблема с дибилами-программистами в принципе легко решается - но нужны норм менеджеры кому не пофиг http://project.megarulez.ru/forums/showthread.php?t=22585http://project.megarulez.ru/forums/showthread.php?t=22567PPS если наберется несколько чел кто готов поработать менеджером(командиром) и/или дать donate(на первое время, потом я думаю можно будет перевести на самоокупаемость и даже прибыль), то эту проблему решим... (умение программировать не требуется, и даже лучше если это будут люди кто ни разу не видел программирование - тогда наконец-то и в документации порядок наведем - заставим программистов писать нормальную документацию, точнее переписывать ее до тех пор, пока она не станет понятна нормальным людям, а не только кучке укуренных линуксоидов) Есть желающие навести там порядок?
|
|
|
|
apxu
Member
Offline
Activity: 229
Merit: 13
|
|
April 10, 2014, 06:49:21 AM |
|
а смысл менять шило на мыло? Ни на Ц, ни на жабе/Ц# код все равно толком не читаем! Скажу честно: Аду я в первый и последний раз видел на 4-ом курсе 20 лет назад. Причем, на экзамене не смог ответить про исключения и получил "банан" (преподаватель был весьма удивлен, так как в той сессии у меня было семь пятерок подряд в зачетке по другим дисциплинам) Читаемость кода - это относительное, а не абсолютное понятие. Если вы программируете на Паскале - вам будет плохо понятен код на Лиспе и наоборот. Так что [imho] Ада не станет "серебрянной пулей", которая враз решит все проблемы. [Работа с памятью и range-checking мне в жаве доставляет огромное удовольствие по сравнению с тем же C++]
|
|
|
|
yurm (OP)
|
|
April 10, 2014, 10:28:17 AM |
|
Собственно, в шапке форума новость появилась. Для тех, кто не очень в ладах с английским, краткий пересказ стартового поста из "More info": Если вы пользовались графической версией 0.9.0 на любой платформе, вы должны обновиться немедленно. Если это пока невозможно, остановите клиент. Если вы когда-либо использовали payment protocol (при отправке платежей обрабатывали кошельком ссылки вида "bitcoin:"), то считайте, что ваш кошелёк скомпрометирован. Сгенерируйте новый кошелёк (не просто новый адрес) и перешлите на него все ваши биткойны. Старый кошелёк не удаляйте. Если вы используете другую версию клиента или консольную 0.9.0, уязвимость вас затронет только при использовании command-line опций rpcssl. Если вы запускали клиент с ними, и атакующий мог достучаться до RPC порта, следует считать кошелёк скомпрометированным. В противном случае немедленных действий не требуется. Если вы используете бинарный кошелёк, скачанный с bitcoin.org или SourceForge, обновление одной только системной библиотеки OpenSSL не поможет. Download 0.9.1AnnouncementДругое ПО (включая другие кошельки) также может быть затронуто багом. OpenSSL очень распространена.
|
BTC donation:1DPUVJWeN2CNgJvRx5MtbsYWnFsKHxXWrc
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
April 10, 2014, 12:21:21 PM |
|
Скажу честно: Аду я в первый и последний раз видел на 4-ом курсе 20 лет назад.
боюсь что вы ее уже через 5-10 лет не узнаете - стандарт совершенствуется _непрерывно_ (других таких не знаю!), новые версии стандарта принимаются каждые лет 10: после 83 были уже 95, 2005, 2012 вроде... То есть там в новых навотах даже те кто все каждый день писал на ней все эти годы разобраться не могут Но что хорошо - совместимость со старыми версиями сохраняется полностью, так что проблем нет - фирма гарантирует что все ваши программы написанные лет 30 назад будут работать без переделки, причем в _т.ч. и на новом железе_! То есть можете найти свой старый курсовик и откомпилировать его для бортового компьютера боинга - запуститься и там, даже без переделки. Причем, на экзамене не смог ответить про исключения и получил "банан" (преподаватель был весьма удивлен, так как в той сессии у меня было семь пятерок подряд в зачетке по другим дисциплинам)
с нуля ее можно освоить недели за 2-3(курсы для полных дебилов), но обычно нормальным людям 2-3 дней хватает. И что главное - после этого можно вас сразу подключать к серьезным проектам, в отличии от Ц где даже 5-10 лет опыта мало. Читаемость кода - это относительное, а не абсолютное понятие.
в вашем конкретном(тяжелом ) случае все что вам надо - вычистить хотя бы все закладки из кошельков, а для этого над чтобы ЛЮБОЙ мог разобраться в коде. Только на Аде это делается без проблем - даже если вообще его раньше не видели, все равно все понятно и можно проверить и разобраться что и как делается... Vladimir PS ну че, может замутим народную фирму по сертификации программ? (можно и валюту свою или криптоакции выпустить)
|
|
|
|
deisik
Legendary
Offline
Activity: 3444
Merit: 1280
English ⬄ Russian Translation Services
|
|
April 10, 2014, 01:40:14 PM |
|
All good, bitcointalk.org seems not affected! Хоть тут порядок Posted from Bitcointa.lk - #fdtPv5NJhrQT39zVКонтрольное слово здесь seems...
|
|
|
|
Balthazar
Legendary
Offline
Activity: 3108
Merit: 1358
|
|
April 10, 2014, 05:12:44 PM |
|
|
|
|
|
Grigorjevi4
|
|
April 10, 2014, 05:58:39 PM |
|
tvv, а можно пример ваших трудов на аде? Столько разговоров, покажите нам успешное применение
Может мне понравится и я адский бот запилю)))))
|
|
|
|
Balthazar
Legendary
Offline
Activity: 3108
Merit: 1358
|
|
April 10, 2014, 06:01:25 PM |
|
Применение местами широкое, однако это не означает, что этот язык нужно делать объектом религиозного преклонения. Потому что если дальше пойти, то в сравнении с лиспом ада - это распиаренное УГ.
|
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
April 10, 2014, 11:39:28 PM |
|
Применение местами широкое, однако это не означает, что этот язык нужно делать объектом религиозного преклонения.
ну преклоняться это врядли(знал бы ты как некоторые Q&S не любят - наверно носом в дерьмо приятнее , а за pragma Ada83; на меня даже обиделись - но зато никакого новомодного дерьма, компилятор гарантирует), а вот сделать обязательным можно - причем двигать со стороны менеджеров и начальства, бо я уже сильно сомневаюсь в ниличии мозгов у программистов вообще... Потому что если дальше пойти, то в сравнении с лиспом ада - это распиаренное УГ.
ппц, и ты туда-же. Теплое с мягким не пробовал сравнивать? У тебя получается... Vladimir PS Ада язык _алгоритмический_(и лучший из них), а лисп и пролог заточен под списки и правила. Хотя я уже давно подумываю сделать какие-нить библиотеки вроде LispStype, PythonStyle и тд, еслив кому нравиться...
|
|
|
|
|