Il cuore sanguinante (CVE-2014-0160)

[Andremales]

E' stata denominata la falla più pericolosa dell'era internet, la cosiddetta "heartbleed" mette a rischio moltissimi siti che utilizzano la cifratura SSL;
un articolo che spiega in maniera semplice ed efficace il problema, qua.

 

[Yoda]

altri articoli

 

[alex89]

che si fa?

 

[VIANELLO_85]

Noi da normali utilizzatori quasi niente, è chi detiene il sito/servizio a dover aggiornare.

 

[ERCOLINO]

Niente, devono aggiornare loro lato server

Poste.it è ok

Unicredit è vulnerabile

 

[Andremales]

che si fa?

niente (purtroppo), è un problema che devono sistemare i gestori dei servizi web.
Potete seguire le utili indicazioni nell'articolo, con un eventuale cambio password (dopo l'eventuale aggiornamento), che non è detto che serva a qualcosa.
Comunque nell'articolo è indicato un sito di test che verifica se un eventuale sito è vulnerabile o meno:
https://www.ssllabs.com/ssltest/

 

[ERCOLINO]

http://filippo.io/Heartbleed/

Li si puó testare la falla di sicurezza dei vari siti

 

[alfry]

Ercolino io la pw sul sito delle poste l'ho cambiata proprio ieri pur non sapendo di questo fatto. Potrebbe andare bene o dovrei cambiarla di nuovo?

 

[ERCOLINO]

Il sito delle poste già stamattina era ok, forse già ieri

 

[alfry]

Il sito delle poste già stamattina era ok, forse già ieri

Ok grazie, quindi dovrei stare tranquillo.

 

[Andremales]

sì, hanno rapidamente aggiornato in moltissimi, forse dovuto anche all'ampia risonanza che ha avuto sui media.
Giusto per dovere di cronaca, le distribuzioni Linux che hanno un sistema di aggiornamento automatico, hanno già inviato le nuove versioni di OpenSSL (ieri sera l'ho verificato sulla mia Mint).

 

[BISCUO]

Google, Yahoo, Dropbox, Facebook, hanno già corretto con la Patch???

Paypal e Outlook.com invece usano altri sistemi di protezione, non dovrebbero esserci problemi.

 

[Yoda]

testato anche Unicredit sembra aver messo a posto le cose.

 

[ERCOLINO]

Google, Yahoo, Dropbox, Facebook, hanno già corretto con la Patch???

Paypal e Outlook.com invece usano altri sistemi di protezione, non dovrebbero esserci problemi.

Sono tutti ok

 

[ERCOLINO]

[CVE-2014-0160] TLS and DTLS implementations in OpenSSL 1.0.1 Vulnerability (Heartbleed Bug)

 

[ERCOLINO]

Android OpenSSL TLS/DTLS Heartbeat Two Information Disclosure Vulnerabilities ----->Info

 

[ERCOLINO]

Tor Browser Bundle OpenSSL TLS/DTLS Heartbeat Two Information Disclosure Vulnerabilities

 

[ERCOLINO]

Heartbleed, la falla sfruttata forse già nei mesi passati

 

[BISCUO]

Sono tutti ok

OK, grazie.
---------------------------------------------------------- ------------------------------------------------------- --------------------------------------------------

Secondo quanto spiegato fino a qui, quel che è fatto è fatto e in passato siamo stati tutti vulnerabili ad accessi esterni su siti come Yahoo Mail, Facebook e Gmail.
Adesso oggi noi siamo obbligati a cambiare le password sui siti web che usano e hanno usato il protocollo OpenSSL, quindi Google, Yahoo, Facebook, Dropbox

Non sarebbe necessario cambiare password sui siti Microsoft compreso Hotmail / Outlook.com che non usano OpenSSL, su Paypal e Amazon......Se veniva usata una certa password su Yahoo Mail e la stessa era usata per altri siti, allora va cambiata anche per tutti gli altri siti

Altri dettagli

 

[ERCOLINO]

Bundled OpenSSL Library Also Makes Apps and Android 4.1.1 Vulnerable to Heartbleed


Tradotto in Italiano