Foro de elhacker.net

Foros Generales => Sugerencias y dudas sobre el Foro => Mensaje iniciado por: Karcrack en 8 Abril 2014, 10:48 am


Título: [URGENTE] elhacker.net vulnerable
Publicado por: Karcrack en 8 Abril 2014, 10:48 am
http://filippo.io/Heartbleed/#foro.elhacker.net

 :-\ :-\

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: WHK en 8 Abril 2014, 15:32 pm
Ehhh alex, le podrías dar un vistazo a la actualización del open ssl por favor? xD

He movido el post hasta acá (privado) para que nadie comience a molestar tratando de explotar la vulnerabilidad en el foro.

Vamos, esto es grave, estamos hablando de inyección de bites en la memoria del servidor y no se hasta que punto pueda haber la posibilidad de inyectar una shellcode y causar una ejecución de código remoto.

https://www.google.cl/?q=CVE-2014-0160#q=CVE-2014-0160

Código:
OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: WHK en 8 Abril 2014, 15:42 pm
Nos van a juankearrr AAHHHH!!!!

(http://asianwiki.com/images/0/07/Oh_My_God-0013.jpg)

Con smf 2.0 esto no hubiera pasado xdDDDDDD

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: el-brujo en 8 Abril 2014, 17:01 pm
el servidor del foro está usando CentOS Linux 6.5 (64 bits), cuando saquen el parche estará arreglado xD

o sea ahora mismo :p

Citar
Loaded plugins: fastestmirror
Cleaning repos: base extras updates
Cleaning up Everything
Cleaning up list of fastest mirrors
Loaded plugins: fastestmirror
Determining fastest mirrors
 * base: ftp.hosteurope.de
 * extras: mirror.softaculous.com
 * updates: centos.mirror.linuxwerk.com
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.7 will be an update
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.7 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package             Arch         Version                   Repository     Size
================================================================================
Updating:
 openssl             x86_64       1.0.1e-16.el6_5.7         updates       1.5 M
 openssl-devel       x86_64       1.0.1e-16.el6_5.7         updates       1.2 M

Transaction Summary
================================================================================
Upgrade       2 Package(s)

Total download size: 2.7 M
Downloading Packages:
--------------------------------------------------------------------------------
Total                                            40 MB/s | 2.7 MB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction

  Updating   : openssl-1.0.1e-16.el6_5.7.x86_64                             1/4

  Updating   : openssl-devel-1.0.1e-16.el6_5.7.x86_64                       2/4

  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                       3/4

  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                             4/4

  Verifying  : openssl-1.0.1e-16.el6_5.7.x86_64                             1/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.7.x86_64                       2/4

  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                             3/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                       4/4

Updated:
  openssl.x86_64 0:1.0.1e-16.el6_5.7  openssl-devel.x86_64 0:1.0.1e-16.el6_5.7

Complete!

.. upgrade complete.

¿Es necesario recompilar el apache?

Sigue saliendo vulnerable... pero ya dice:

Citar
There are load (?) issues causing FALSE NEGATIVES.

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: WHK en 8 Abril 2014, 17:13 pm
Ese mensaje aparecía de antes, es solo un informativo para decir que aunque el servicio diga que tu servidor no es vulnerable igual lo puede ser.

Pero de todas maneras aun dice que es vulnerable xD asi que ni idea si tendrás que recompilar algo o no, talves alguien mas de acá sepa que hacer en este caso. Tardarías mucho en hacerlo de todas maneras?, vamos que me puedo quedar sin foro durante una hora con tal de que quede todo bien :P

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: Carloswaldo en 8 Abril 2014, 17:41 pm
Alex, el foro sigue siendo vulnerable

Código
  1. linux-ke9y:/home/carloswaldo/gocode/bin # ./Heartbleed foro.elhacker.net:443
  2. 2014/04/08 10:36:49 ([]uint8) {
  3.  00000000  02 00 79 68 65 61 72 74  62 6c 65 65 64 2e 66 69  |..yheartbleed.fi|
  4.  00000010  6c 69 70 70 6f 2e 69 6f  59 45 4c 4c 4f 57 20 53  |lippo.ioYELLOW S|
  5.  00000020  55 42 4d 41 52 49 4e 45  7c 9d df 1e ce 1d 3d d3  |UBMARINE|.....=.|
  6.  00000030  18 bf 3a 99 28 33 bb 7c  b5 d7 b1 a5 03 03 03 03  |..:.(3.|........|
  7.  00000040  c2 a9 a0 cf f8 60 a2 93  6c f8 15 c4 f0 c9 53 7a  |.....`..l.....Sz|
  8.  00000050  79 64 48 45 e9 32 ec 9a  96 48 a8 23 b9 33 b3 01  |ydHE.2...H.#.3..|
  9.  00000060  12 f9 42 35 98 7f 8a 70  ab f0 d2 6a ed 18 f9 38  |..B5...p...j...8|
  10.  00000070  66 9c 71 7c cd 22 6b 30  5a 1b db 42 18 fa a5 a6  |f.q|."k0Z..B....|
  11.  00000080  36 74 7d 35 0a 44 38 61  58 06 2e e1              |6t}5.D8aX...|
  12. }
  13.  
  14. 2014/04/08 10:36:49 foro.elhacker.net:443 - VULNERABLE

El problema es que aun no han salido las actualizaciones necesarias para algunas distros, la rama openssl 1.0.1e es vulnerable, tienes que instalar >= 1.0.1g o 1.0.2 (en beta)

Citar
What versions of the OpenSSL are affected?

Status of different versions:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: el-brujo en 8 Abril 2014, 17:47 pm
Era necesario reiniciar el apache para que el parche tome efecto.

http://filippo.io/Heartbleed/#foro.elhacker.net

Prueba ahora Carloswaldo.

Citar
All good, foro.elhacker.net seems not affected!



Citar
Load issues - fix in progress

Load issues (probably) caused many connections to the tested servers to fail randomly and report a FALSE NEGATIVE (green).

Repeated tests will finally yield a red. The red result takes precedence over all the others and is certain. You are given a sample of live server memory as proof.

I'm very sorry about this happening. I'm spinning up more machines for a quick fix, and then rewriting the test to give only positive green.

Meanwhile you can use the command line tool that is completely unaffected.

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: Carloswaldo en 8 Abril 2014, 18:04 pm
Código:
linux-ke9y:/home/carloswaldo/gocode/bin # ./Heartbleed foro.elhacker.net:443
2014/04/08 11:03:49 foro.elhacker.net:443 - SAFE

Perfecto ;D

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: el-brujo en 8 Abril 2014, 20:02 pm
es muy dificil explotar el bug.... vamos no imposible, pero hay que tener unos conocimientos elevados de buffer overflow, no es el público habitual de ehn xD

Me refiero que el fallo es grave, pero el 99,9%  de la gente no lo sabe explotar.

La noticia es un poco sensacionalista....

Citar
And further, you won't be able to read the memory of any other process, so those "business critical documents" would need to be in memory of the process, less than 64KB, and be nearby pl.

Un análisis técnico del fallo:
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

En español:
http://blog.elhacker.net/2014/04/grave-vulnerabilida-en-openssl-llamada-Heartbleed-CVE-2014-0160.html

Buf, aunque leo que el verdadero problema no es la memoria (buffer overflow), es que se puede hacer un hijacking de la sesión SSL

Con un simple script puedes dumpear parte de la ram y ver los datos de la sesión (token), ponerlos en una cookie y acceder como otro usuario:

https://gist.github.com/takeshixx/10107280

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: WHK en 9 Abril 2014, 16:58 pm
Ya puedo mover este post al foro original de sugerencias?

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: el-brujo en 9 Abril 2014, 18:57 pm
sips, claro xD

Además de regalo:

https://www.ssllabs.com/ssltest/analyze.html?d=foro.elhacker.net

(http://i.elhacker.net/i?i=dbzMewlGajC9TAjYiIm_OmVo) (http://i.elhacker.net/d?i=dbzMewlGajC9TAjYiIm_OmVo)

Configuración del Apache ssl.conf

Código:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: WHK en 9 Abril 2014, 20:36 pm
Gracias Karcrack por el reporte :)

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: Karcrack en 9 Abril 2014, 22:22 pm
De nada, siento no haberlo hecho por privado :P

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: topomanuel en 10 Abril 2014, 00:37 am
O sea... antes esta mal y ahora no???...

(http://img837.imageshack.us/img837/1573/j79t.png)

Yo no se mucho de estas cosas... por eso me meto en todo a ver si aprendo...
disculpen...

Esto es lo mismo???...

(http://img59.imageshack.us/img59/5540/p2pr.png)

Título: Re: [URGENTE] elhacker.net vulnerable
Publicado por: dantemc en 11 Abril 2014, 21:30 pm
yo ni sabía que ya habían implementado https :(


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines