TLS heartbeat read overrun (CVE-2014-0160)

Bonjour!
User avatar
Bicephale
Full of knowledge
Full of knowledge
Posts: 111
Joined: 28 Dec 2010, 19:10
Distribution: Live CDs
Location: Quebec/Qc, Canada

TLS heartbeat read overrun (CVE-2014-0160)

Post#1 by Bicephale » 11 Apr 2014, 04:36

Details:



https://www.openssl.org/news/secadv_20140407.txt

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.


Also:


https://www.openssl.org/source/openssl-1.0.1g.tar.gz
4509047 Apr 7 19:21:29 2014 openssl-1.0.1g.tar.gz



From Porteus forum:

http://forum.porteus.org/viewtopic.php? ... .1g#p23626
Board index ‹ General ‹ General chat ‹ Security hole in OpenSSL

User avatar
francois
Contributor
Contributor
Posts: 6434
Joined: 28 Dec 2010, 14:25
Distribution: xfce plank porteus nemesis
Location: Le printemps, le printemps, le printemps... ... l'hiver s'essoufle.

Re: TLS heartbeat read overrun (CVE-2014-0160)

Post#2 by francois » 11 Apr 2014, 16:10

Salut Bicephale. Rare apparition. Quoi de neuf?
Prendre son temps, profiter de celui qui passe.

User avatar
Bicephale
Full of knowledge
Full of knowledge
Posts: 111
Joined: 28 Dec 2010, 19:10
Distribution: Live CDs
Location: Quebec/Qc, Canada

Re: TLS heartbeat read overrun (CVE-2014-0160)

Post#3 by Bicephale » 11 Apr 2014, 18:04

Bonjour,
francois wrote:Salut Bicéphale. Rare apparition. Quoi de neuf?
Comment ça va par chez-vous mon cher François!

C'est vrai, je n'ai plus vraiment été actif depuis quelques années. La viellesse...

Mais il y a de ces occasions où les vielles habitudes reviennent au galop justement, par exemple j'ai voulu compter sur Porteus pour énergiser un LapTop ne pouvant raisonablement supporter que Windows XP, lequel se trouve maintenant abandonné par Microsoft si j'ai bien suivi les nouvelles...

Hélas j'ai du constater de première main que la personnalisation de Porteus paraît toujours aussi laborieuse, dommage que je n'aies plus le temps ni l'énergie pour détailler.

Il y a malgré tout 2 ou 3 très légères contributions que je pourrais me permettre. Tout d'abord je trouve malheureux qu'on ait laissé tomber les touches d'aides au démarrage qui donnaient accès aux informations sur les paramètres qui sont maintenant cantonnées dans '/boot/docs/cheatcodes.txt'! Pas vraiment pratique dans le vif le l'action... Ensuite mes applications CLI fétiches que sont 'Lynx' et 'MidnightCommander' ne sont pas en français bien que je sache cela possible - ou en tout cas ça l'était. Et puis il y a 'PLoP', pourquoi une version si ancienne? En fait pourquoi ne pas avoir ajouté 'KExec-Loader' qui a atteint la version 2.3?! Pour finir, j'ai remarqué l'absence d'un pilote permettant à mon clavier Logitech sans fil de fonctionner tôt pendant le démarrage et par conséquent les "container" en .dat encryptés requierent un mot de passe que je ne peux taper! Toutefois, comme il y a une télécommande infrarouge multimédia qui elle est reconnue ça permet d'entrer [Enter] avec la touche [OK] ainsi que des chiffres pour le mot de passe, ce qui montre bien que la chose n'a rien d'impossible. Alors si ça marche avec une télécommande pourquoi pas le clavier!! Bref si j'additionne les heures bout à bout ça explique l'échec de ma tentative avec un LapTop tandis qu'il fallait faire vite, ça procure des petites victoires mais ça fait aussi beaucoup de frustrations pour pas grand chose. Éh oui, je m'accuse de perfectionnisme.

Cependant il y a les bons côtés et maintenant qu'à la télé on nous avertit sur la faille Heartbeat il advient que nécessité fait loi! À ce sujet j'avoue que j'ai d'abord du chercher longtemps mais qu'une fois sur la piste de 'USM' les choses se sont déroulées rondement! Je croyais devoir me taper des incantations CLI à n'en plus finir comme antérieurement, éh bien non. Grand soulagement, j'ai maintenant la version 1.0.1g!

Je crois pouvoir comprendre combien cela s'avère difficile de s'y retrouver dans tout ce scriptage stratifié, on peut remercier les plus fougeux pour s'y essayer à notre place et un jour comme aujourd'hui j'ai simplement envie de les remercier! De toute façon il y a de ces courbes d'apprentissage qui ne sont plus réellement à ma portée, alors autant apprécier le travail accompli et là-dessus je pense que la génération en-ligne d'un fichier-image Porteus personnalisé montre la voie de l'avenir, il faudra donc persévérer.

Chose certaine beaucoup de chemin a été parcouru depuis 'Slax v5' pour ma part, ça y'a pas à en douter.

Félicitations pour votre beau programme!

:wink:

User avatar
fanthom
Moderator Team
Moderator Team
Posts: 5666
Joined: 28 Dec 2010, 02:42
Distribution: Porteus Kiosk
Location: Poland
Contact:

Re: TLS heartbeat read overrun (CVE-2014-0160)

Post#4 by fanthom » 11 Apr 2014, 20:12

moved to French section of the forum.
Please add [Solved] to your thread title if the solution was found.

User avatar
francois
Contributor
Contributor
Posts: 6434
Joined: 28 Dec 2010, 14:25
Distribution: xfce plank porteus nemesis
Location: Le printemps, le printemps, le printemps... ... l'hiver s'essoufle.

Re: TLS heartbeat read overrun (CVE-2014-0160)

Post#5 by francois » 11 Apr 2014, 20:49

Eh bien, il semble que fanthom nous aie cantonné au fil francophone. Désolé. Il n'est plus permis de deviser d'une langue à l'autre sur le forum comme on se permettait de le faire comme des anarchistes sur le forum de slax.

Tout de même, il règne sur porteus un esprit d'altruisme et de collaboration que l'on a pas toujours sur d'autres forii linux. Les gens sont plutôt gentils et surtout prêts à aider. J'imagine que vos quelques propositions trouveraient assez rapidement preneur.

Il suffit de constater jusqu'à quel point le principe du cheatcode s'est développé sous le règne de fanthom, de brokenman et des autres.

Pour ce qui est de s'y retrouver, il n'y a qu'à s'y remettre. Après un certain temps on arrive à faire mieux. Vous faisiez déjà dans la dentelle. C'est un peu comme le coup de patin, cela revient vite.

Au futur plaisir de se cotoyer sur le forum.
Prendre son temps, profiter de celui qui passe.

Post Reply