DROWN: El ataque contra https que afecta 33% de los sitios de la web (Pagina 1) / Seguridad y Hacking / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 03-03-2016 21:29:15

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

DROWN: El ataque contra https que afecta 33% de los sitios de la web

DROWN : Ataque fulgurante para descifrar el trafico https

ataque_DROWN_1.jpg

  DROWN significa "Decrypting RSA with Obsolete and Weakened eNcryption" y el nombre lo dice todo :
  El ataque afecta a sitios https mal-protegidos/descuidados.
Es un poco similar "en esencia" al ataque logjam del cuál hemos hablado aquí : Como hace la NSA para decifrar los datos en https, SSL, TLS y VPN
  Permite descifrar el trafico supuestamente "seguro" en sitios mal-configurados
  La diferencia obvia es que para un ataque DROWN no necesitamos ninguna supercomputadora enchufada las 24 horas del día durante un año para lograr resultados
La brecha es explotable en 8 horas usando la potencia de servicios como Amazon EC2 contra 33% de los sitios https
  Para un coste total de... 440$
  Es incluso explotable en un par de minutos con una sola computadora (efectivo contra 26% de los sitios https)  utilizando una variante avanzada del ataque descrito. 
  El ataque ha sido publicado en este PDF hace dos días atrás :

Es un trabajo colectivo llevado por investigadores en IT de varias universidades con el respaldo de google y con la necesaria participación  de nuestros queridos amigos de hashcat

Nimrod Aviram(1), Sebastian Schinzel(2), Juraj Somorovsky(3), Nadia Heninger(4), Maik Dankel(2), Jens Steube(5), Luke Valenta(4), David Adrian(6), J. Alex Halderman(6), Viktor Dukhovni(7), Emilia Käsper(8), Shaanan Cohney(4), Susanne Engels(3), Christof Paar(3) and Yuval Shavitt (1)
1 = Department of Electrical Engineering, Tel Aviv University
2 = Münster University of Applied Sciences
3 = Horst Görtz Institute for IT security, Ruhr University Bochum
4 = University of Pennsylvania
5 = Hashcat Project
6 = University of Michigan
7 = Two Sigma/OpenSSL
8 = Google/OpenSSL

1 ) Desarrollo del ataque Bleichenbacher contra TLS2 gracias a una brecha "zeroday" afectando SSLv2 

  El ataque DROWN no es una "revolución" ya que se basa en debilidades conocidas.
Lo novedoso reside en usar las de forma conjuntas para un ataque factible
  El primer ataque -  que requiere algo de potencia de computación -  es una mejora del ataque Bleichenbacher gracias al uso de une nueva vulnerabilidad detectada en el protocolo SSLv2 se hace así :
  El pirata debe examinar 1,000 handshakes TLS, luego tiene que efectuar 40,000 conexiones SSLv2 para poder llevar un ataque de fuerza bruta offline sobre 2⁵⁰ posibilidades. 
Así será capaz de descifrar el trafico cifrado con llaves RSA TLS de 2048-bit (muy largas)
  Como comentaba en inicio de tema este ataque afecta a 33% de los sitios https y se lleva en menos de un día con el servidor de hashcat o en 8 horas con el cloud amazon

We successfully carried out this attack using a heavily optimized GPU implementation and were able to decrypt a 2048-bit
RSA ciphertext in less than 18 hours on a GPU cluster and less than 8 hours using the Amazon EC2 service

aquí tenéis un esquema de una conexión SSL2 : ataque_DROWN_2.jpg
En la fase "hello" el cliente y le servidor se ponen de acuerdo sobre el cifrado empleado
Podemos ver que la llave maestra (Master Key) se divide en dos partes : una parte en texto plano y otra cifrada. (master_key = mk clear || mk secret)
el ataque se basa en dos debilidades :

  1. la "premaster key" es siempre de 48 bytes, un tamaño fijo y conocido cuál sea el cifrado elegido en la fase "hello"

  2. El servidor espera el mensaje "ClientFinished" para autenticar el cliente dejando así un espacio para ataque al que se conecta

2) Variante letal explotando una brecha OpenSSL desvelada desde poco

Si el servidor atacado usa una versión algo desfasada de OpenSSL el ataque es aún más rápido.
La versiones afectadas de OpenSSL son las publicadas hasta 2015.
La potencia de calculo en este contexto no es importante : La velocidad del ataque dependerá de la capacidad del servidor a tratar los handshakes y se requieren la mitad de los necesarios para el primer ataque.
  79% de los sitios afectados por le primer ataque son vulnerable al ataque rápido, o sea 26% de las webs en https.
  El falló de openSSL es el siguiente: A pesar de toda lógica OpenSSL no respeta el cifrado anunciado en el mensaje "Hello" del servidor.
El cliente tiene entonces la posibilidad de obligar el servidor a rebajar el nivel de seguridad imponiendo un cifrado inseguro "importado".

ataque_DROWN_3.jpg

  La brecha se ha visto atribuir el CVE-2015-3197 y ha sido arreglada con la ultima versión : Changes between 1.0.2g and 1.1.0  [xx XXX xxxx]

3) Impacto del ataque

El PDF detalla todas las operaciones en varios casos a lo largo de su 20 paginas.
Sin entrar en los detalles matemáticos del asunto podemos examinar un rato la relación "eficiencia/coste" y el impacto sobre el millón de sitios mas visitados en el mundo :
  Para el ataque "largo" : ataque_DROWN_4.jpg
  Para el ataque factible con una simple computadora : ataque_DROWN_5.jpg
Aquí vemos unas configuraciones posibles para llevar el ataque así que el coste en tiempo , recursos y ... dolares.

ataque_DROWN_6.jpg

.

Además tenemos a nuestra disposición un listado de los sitios afectados, lista encabezada por yahoo (quinta web con mas trafico a escala mundial) :
The DROWN attack : vulnerable sites

ataque_DROWN_7.jpg

  Cada uno puedo verificar si su sitio es vulnerable gracias a la pagina online DROWN attack Test
Para investigar más puede usar la herramienta de código libre disponible desde los repositorios GitHub : public drown scaner

4) Las raíces del problema : la "crypto war"

  Desde la era Bill clinton la administración americana ha llevado una estrategia para debilitar los sistemas de cifrados creados en EEUU 
  El concepto es simple : las herramientas de cifrado que EEUU "exporta" han de ser rompibles por los servicios de la administración norte americana espaciados en estos menestrales 
DROWN Flaw Exposes 33 Percent Of HTTPS Connections To Attack @ therat post

The DROWN is a new form of cross-protocol Bleichenbacher padding oracle attack, according to researchers. And similar to Bleichenbacher, the DROWN attack exploits a fundamental weakness in the SSLv2 protocol that relates to 1990s-era export-grade cryptography introduced to comply with US government restrictions. At the time, anyone who implemented SSLv2 was force to build in a series of “export-grade ciphersuites” that offered 40-bit session keys. “This was the result of needing to satisfy the U.S. government’s misguided attempt to control the export of cryptography,” Green writes. - See more at: https://threatpost.com/drown-flaw-expos … AWoKs.dpuf

When they created SSLv2 they created a special version. They intentionally weakened it,” said Ivan Ristic, director of engineering at Qualys, and an SSL expert. That version, Ristic said, was intentionally weak so the US government could break the encryption, if need be.

El ataque "cruzado" DROWN es antes de todo factible por la vulnerabilidad SSL2 impuestas por los EEUU conjugada con el uso de otras debilidades
Y lo que era factible para los servicios americanos en 1990 es hoy en día alcnasable por 500$ con la evolución del material informático.

Las enseñas a tirar son las mismas que con el ataque logjam : además de actualizarse, de no usar llaves genricas etc.. la "comunidad" tiene que repensar con fuerza toda la seguridad tal y como se ha definida en estos 20 años de eplosión de la web.
  Logjam nos ha enseñado que estamos un paso por detrás de las agencias tipo NSA y pensando el mundo como si fuera el de hace 5-10 años atrás
  Drown nos enseña que que no hace falta ser la NSA para poder explotar vulnerabilidades del palo.
   Shinzel (uno de los autores) resume asi la situación :

“Our results illustrate, like FREAK and Logjam, the continued harm that a legacy of deliberately weakened export-grade cryptography inflicts on the security of modern systems, even decades after the regulations influencing the original design were lifted.” - See more at: https://threatpost.com/drown-flaw-illus … zHPCb.dpuf

Fuentes

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 04-03-2016 00:17:38

USUARIONUEVO
Usuario

Registrado: 07-07-2015
Mensajes: 193

Re: DROWN: El ataque contra https que afecta 33% de los sitios de la web

Esta vulnerabilidad es gorda , las distribuciones linux , no solo estan actualizando las openssl , si no que en algunas (no se si en todas) , se estan recompilando herramientas de desarrolladores como python , ruby o las qt , para suprimirles el soporte a SSLv2 y estar asi libres del problema...dejandoles el soporte SSLv3.

openssl ,siempre en el punto de mira smile , una detras de otra.

Desconectado

#3 04-03-2016 15:10:09

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: DROWN: El ataque contra https que afecta 33% de los sitios de la web

Esta vulnerabilidad es gorda , las distribuciones linux , no solo estan actualizando las openssl , si no que en algunas (no se si en todas) , se estan recompilando herramientas de desarrolladores como python , ruby o las qt , para suprimirles el soporte a SSLv2 y estar asi libres del problema...dejandoles el soporte SSLv3.

¡Ya te digo! big_smile
Mirra un poco esta lista de actualizaciones que me he comido hoy en Kali :
  Cinco minutos de actualizaciones, parecía ser windows (solo que con windows en cinco minutos has actualizado dos cosas y te pone "espera que windows se esta reiniciando - 33%" )  tongue :

 cat history.log

Start-Date: 2016-02-04  13:13:12
Commandline: apt-get upgrade
Requested-By: kcdtv (1000)
Upgrade: libgoa-backend-1.0-1:amd64 (3.18.3-1, 3.18.4-1), libfreerdp-codec1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), 
libc-ares2:amd64 (1.10.0-3, 1.11.0-1), python-sip:amd64 (4.17+dfsg-1, 4.17+dfsg-2), libdevmapper1.02.1:amd64 (1.02.115-2, 1.02.116-1), liblvm2cmd2.02:amd64 (2.02.141-2,
 2.02.142-1), libefivar0:amd64 (0.21-2, 0.23-1), dmsetup:amd64 (1.02.115-2, 1.02.116-1), libwinpr-environment0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 
1.1.0~git20140921.1.440916e+dfsg1-7), libkrb5-3:amd64 (1.13.2+dfsg-4, 1.13.2+dfsg-5), libgssapi-krb5-2:amd64 (1.13.2+dfsg-4, 1.13.2+dfsg-5), python2.7-dev:amd64 (2.7.11-3, 
2.7.11-4), python-levenshtein:amd64 (0.12.0-2+b1, 0.12.0-2+b2), python-psutil:amd64 (3.4.2-1, 3.4.2-1+b1), libnghttp2-14:amd64 (1.7.1-1, 1.7.1-2), libcrack2:amd64 (2.9.2-1+b1, 
2.9.2-1+b2), ruby-oj:amd64 (2.12.10-3+b1, 2.12.10-4+b1), gir1.2-gtk-3.0:amd64 (3.18.7-1, 3.18.8-1), libwinpr-library0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 
1.1.0~git20140921.1.440916e+dfsg1-7), libapt-inst2.0:amd64 (1.2.3, 1.2.4), libgrilo-0.2-1:amd64 (0.2.14-1, 0.2.15-1), libwinpr-rpc0.1:amd64 
(1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libmpfr4:amd64 (3.1.3-2, 3.1.4~rc1-1), libwinpr-synch0.1:amd64 
(1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), python-markupsafe:amd64 (0.23-2+b1, 0.23-2+b2), libwiretap5:amd64 (2.0.1+g59ea380-3+b1, 
2.0.2+ga16e22e-1), libgoa-1.0-0b:amd64 (3.18.3-1, 3.18.4-1), cracklib-runtime:amd64 (2.9.2-1+b1, 2.9.2-1+b2), proxychains:amd64 (3.1-6, 3.1-7), libfreerdp-locale1.1:amd64 
(1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libboost-filesystem1.58.0:amd64 (1.58.0+dfsg-4.1, 1.58.0+dfsg-5+b1), va-driver-all:amd64 
(1.6.2-1, 1.6.2-2), python-yara:amd64 (3.4.0+dfsg-2+b2, 3.4.0+dfsg-2+b3), libgoa-1.0-common:amd64 (3.18.3-1, 3.18.4-1), python-gitdb:amd64 (0.6.4-3, 0.6.4-3+b1), 
libwbclient0:amd64 (4.1.17+dfsg-4, 4.3.3+dfsg-2+b1), libfreerdp-gdi1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libgeos-c1v5:amd64 
(3.5.0-1+b1, 3.5.0-1+b2), python-esmre:amd64 (0.3.1-3+b1, 0.3.1-3+b2), python-bson:amd64 (3.2-1, 3.2-1+b1), libgtk-3-common:amd64 (3.18.7-1, 3.18.8-1), python-bson-ext:amd64
 (3.2-1, 3.2-1+b1), apt:amd64 (1.2.3, 1.2.4), libgtk-3-0:amd64 (3.18.7-1, 3.18.8-1), python-simplejson:amd64 (3.8.1-1, 3.8.1-1+b1), libksba8:amd64 (1.3.3-1, 1.3.3-3), libfreerdp-crypto1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), 
python-zope.interface:amd64 (4.1.3-1, 4.1.3-1+b1), python2.7-minimal:amd64 (2.7.11-3, 2.7.11-4), libwinpr-handle0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), 
python-tz:amd64 (2015.7-0kali1, 2015.7+dfsg-0.1), binutils:amd64 (2.26-4, 2.26-5), python-dbus:amd64 (1.2.0-3, 1.2.2-1), libwinpr-registry0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), 
libdevmapper-event1.02.1:amd64 (1.02.115-2, 1.02.116-1), libnm-gtk-common:amd64 (1.0.10-1, 1.1.90-3), libboost-thread1.58.0:amd64 (1.58.0+dfsg-4.1, 1.58.0+dfsg-5+b1),
 libradare2-common:amd64 (0.9.9-0kali1, 0.9.9-0kali1+b1), libwsutil6:amd64 (2.0.1+g59ea380-3+b1, 2.0.2+ga16e22e-1), libhivex0:amd64 (1.3.13-1+b1, 1.3.13-1+b2), libpython2.7:amd64 (2.7.11-3, 2.7.11-4), libncurses5:amd64 (6.0+20151024-2, 6.0+20160213-1), python2.7:amd64 (2.7.11-3, 2.7.11-4), console-setup-linux:amd64 (1.136, 1.137), 
libwinpr-interlocked0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libwinpr-crt0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 
1.1.0~git20140921.1.440916e+dfsg1-7), libboost-system1.58.0:amd64 (1.58.0+dfsg-4.1, 1.58.0+dfsg-5+b1), ruby-json:amd64 (1.8.3-1+b1, 1.8.3-1+b2), dmeventd:amd64 (1.02.115-2, 
1.02.116-1), coreutils:amd64 (8.24-1, 8.25-2), libboost-python1.58.0:amd64 (1.58.0+dfsg-4.1, 1.58.0+dfsg-5+b1), lvm2:amd64 (2.02.141-2, 2.02.142-1), libk5crypto3:amd64 
(1.13.2+dfsg-4, 1.13.2+dfsg-5), libpython2.7-dev:amd64 (2.7.11-3, 2.7.11-4), python-certifi:amd64 (2015.11.20.1-1, 2015.11.20.1-2), ruby-ffi:amd64 (1.9.10debian-1, 1.9.10debian-
1+b1), console-setup:amd64 (1.136, 1.137), libwinpr-sysinfo0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libdevel-partialdump-
perl:amd64 (0.18-1, 0.18-2), upower:amd64 (0.99.4-1, 0.99.4-2), libtotem-plparser-common:amd64 (3.10.6-1, 3.10.6-2), libgsf-1-114:amd64 (1.14.35-1, 1.14.36-1), 
cups-common:amd64 (2.1.3-1, 2.1.3-2), xkb-data:amd64 (2.16-1, 2.17-1), libapt-pkg5.0:amd64 (1.2.3, 1.2.4), ruby-unf-ext:amd64 (0.0.7.2-1, 0.0.7.2-1+b1), libncursesw5:amd64 
(6.0+20151024-2, 6.0+20160213-1), python-apsw:amd64 (3.8.11.1-r1-1+b1, 3.8.11.1-r1-1+b2), libwxgtk3.0-0v5:amd64 (3.0.2+dfsg-1.2, 3.0.2+dfsg-1.3), libwinpr-file0.1:amd64 
(1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libapparmor1:amd64 (2.10-3, 2.10-3+b1), gir1.2-totem-plparser-1.0:amd64 (3.10.6-1, 3.10.6-2), 
libfreerdp-common1.1.0:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), krb5-locales:amd64 (1.13.2+dfsg-4, 1.13.2+dfsg-5), libwinpr-sspi0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libllvm3.7:amd64 (3.7.1-1, 3.7.1-1+b1), libgeocode-glib0:amd64 (3.18.0-1, 
3.18.2-1), wireshark:amd64 (2.0.1+g59ea380-3+b1, 2.0.2+ga16e22e-1), libjim0.76:amd64 (0.76-1, 0.76-2), python-cryptography:amd64 (1.2.2-2, 1.2.2-3), python-crypto:amd64 
(2.6.1-6, 2.6.1-6+b1), libyara3:amd64 (3.4.0+dfsg-2+b2, 3.4.0+dfsg-2+b3), libproxychains3:amd64 (3.1-6, 3.1-7), libva1:amd64 (1.6.2-1, 1.6.2-2), python-cffi-backend:amd64 (1.5.0-1, 
1.5.2-1+b1), libgtk-3-bin:amd64 (3.18.7-1, 3.18.8-1), libtotem-plparser18:amd64 (3.10.6-1, 3.10.6-2), ruby-eventmachine:amd64 (1.0.7-3+b3, 1.0.7-3+b4), libtinfo5:amd64 
(6.0+20151024-2, 6.0+20160213-1), libkrb5support0:amd64 (1.13.2+dfsg-4, 1.13.2+dfsg-5), python-faraday:amd64 (1.0.16-0kali1, 1.0.17-0kali1), libilmbase12:amd64 (2.2.0-8, 
2.2.0-11), libfreerdp-core1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), liblvm2app2.2:amd64 (2.02.141-2, 2.02.142-1), libgsf-
1-common:amd64 (1.14.35-1, 1.14.36-1), ruby-yajl:amd64 (1.2.0-3+b1, 1.2.0-3+b2), libwinpr-utils0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 
1.1.0~git20140921.1.440916e+dfsg1-7), python-http-parser:amd64 (0.8.3-2+b1, 0.8.3-2+b2), gnuplot5-qt:amd64 (5.0.3+dfsg1-2, 5.0.3+dfsg2-1), ruby-sqlite3:amd64 (1.3.11-1, 
1.3.11-1+b1), libwinpr-dsparse0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libselinux1:amd64 (2.4-3, 2.4-3+b1), python-apt:amd64 
(1.1.0~beta1, 1.1.0~beta1+b1), libgail-3-0:amd64 (3.18.7-1, 3.18.8-1), libtinfo-dev:amd64 (6.0+20151024-2, 6.0+20160213-1), commix:amd64 (0.4b-20160204-0kali1, 0.4.1b-
20160226-0kali1), python-smmap:amd64 (0.9.0-2, 0.9.0-3), ncurses-term:amd64 (6.0+20151024-2, 6.0+20160213-1), libwinpr-input0.1:amd64 
(1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libsdl1.2debian:amd64 (1.2.15-12, 1.2.15+dfsg1-2), libwxbase3.0-0v5:amd64 (3.0.2+dfsg-1.2, 
3.0.2+dfsg-1.3), gnome-online-accounts:amd64 (3.18.3-1, 3.18.4-1), gir1.2-upowerglib-1.0:amd64 (0.99.4-1, 0.99.4-2), sqlmap:amd64 (1.0+git20151218-0kali1, 
1.0+git20160227-0kali1), libijs-0.35:amd64 (0.35-11, 0.35-12), libfreerdp-utils1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), ncurses-
bin:amd64 (6.0+20151024-2, 6.0+20160213-1), libwinpr-heap0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), apt-utils:amd64 (1.2.3,
 1.2.4), ruby-dataobjects-mysql:amd64 (0.10.16-1+b1, 0.10.16-1+b2), thin:amd64 (1.6.3-2+b1, 1.6.3-2+b2), libupower-glib3:amd64 (0.99.4-1, 0.99.4-2), libopenexr22:amd64 (2.2.0-9, 2.2.0-10), binfmt-support:amd64 (2.1.5-3+kali1, 2.1.6-1), python-maxminddb:amd64 (1.2.0-1.2, 1.2.0-1.2+b1), keyboard-configuration:amd64 (1.136, 1.137), ruby-atomic:amd64 (1.1.16-2+b4, 1.1.16-2+b5), libfreerdp-cache1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libnm-gtk0:amd64 (1.0.10-1, 1.1.90-3), x11-xserver-utils:amd64 (7.7+5, 7.7+7), libwinpr-path0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libfftw3-double3:amd64 (3.3.4-2, 
3.3.4-2+b1), ruby-dataobjects-sqlite3:amd64 (0.10.16-1+b1, 0.10.16-1+b2), ncurses-base:amd64 (6.0+20151024-2, 6.0+20160213-1), libdirectfb-1.2-9:amd64 (1.2.10.0-5.1, 
1.2.10.0-5.2), ruby-dataobjects-postgres:amd64 (0.10.16-1+b1, 0.10.16-1+b2), libhivex-bin:amd64 (1.3.13-1+b1, 1.3.13-1+b2), libpython2.7-minimal:amd64 (2.7.11-3, 2.7.11-4), 
ruby-molinillo:amd64 (0.2.3-1, 0.4.3-1), libgeos-3.5.0:amd64 (3.5.0-1+b1, 3.5.0-1+b2), libva-x11-1:amd64 (1.6.2-1, 1.6.2-2), python-mysqldb:amd64 (1.3.7-1, 1.3.7-1+b1), 
ruby-nokogiri:amd64 (1.6.7.1-1, 1.6.7.1-1+b1), vinetto:amd64 (0.07-2, 0.07-4), libwireshark-data:amd64 (2.0.1+g59ea380-3, 2.0.2+ga16e22e-1), libva-drm1:amd64 (1.6.2-1, 1.6.2-2), 
python-wheel:amd64 (0.26.0-1, 0.29.0-1), gnuplot5-data:amd64 (5.0.3+dfsg1-2, 5.0.3+dfsg2-1), libwinpr-thread0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 
1.1.0~git20140921.1.440916e+dfsg1-7), python-pymongo:amd64 (3.2-1, 3.2-1+b1), libboost-iostreams1.58.0:amd64 (1.58.0+dfsg-4.1, 1.58.0+dfsg-5+b1), python-pymongo-ext:amd64 
(3.2-1, 3.2-1+b1), libpython2.7-stdlib:amd64 (2.7.11-3, 2.7.11-4), ruby-http-parser.rb:amd64 (0.6.0-3+b1, 0.6.0-3+b2), pinentry-gnome3:amd64 (0.9.7-3, 0.9.7-5), libtevent0:amd64 
(0.9.26-3, 0.9.28-1), libfreerdp-client1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), libxapian22v5:amd64 (1.2.22-1, 1.2.22-3), python-
pyscard:amd64 (1.9.1-1, 1.9.2-2), mimikatz:amd64 (2.1.0~alpha-20160131-0kali1, 2.1.0~alpha-20160229-0kali1), libwinpr-pool0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 
1.1.0~git20140921.1.440916e+dfsg1-7), python-tornado:amd64 (4.2.1-1+b1, 4.2.1-1+b2), libwinpr-crypto0.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 
1.1.0~git20140921.1.440916e+dfsg1-7), libdebconfclient0:amd64 (0.204, 0.206), libinput10:amd64 (1.1.7-1, 1.2.0-1), libqdbm14:amd64 (1.8.78-6+b2, 1.8.78-6+b3), rifiuti2:amd64 
(0.6.1-1, 0.6.1-2), libfftw3-single3:amd64 (3.3.4-2, 3.3.4-2+b1), libfreerdp-primitives1.1:amd64 (1.1.0~git20140921.1.440916e+dfsg1-5+b1, 1.1.0~git20140921.1.440916e+dfsg1-7), 
masscan:amd64 (1.0.3+git20140505-0kali1, 1.0.3+git20160304-0kali1)
End-Date: 2016-02-04  13:18:51

penssl ,siempre en el punto de mira smile , una detras de otra.

Pues si... Es lo que tiene ser la solución universal de código libre.
Lo importante es que las brechas sean descubiertas por universitarios y hackers "de verdad"  y no por la NSA o la mafia rusa big_smile
Pero... vallá folón.
En fin, creo que las distribuciones GNU-Linux han bien aprendido la lección con  heartbleed y es bueno ver que actúan rápido.

Desconectado

#4 04-03-2016 23:07:06

USUARIONUEVO
Usuario

Registrado: 07-07-2015
Mensajes: 193

Re: DROWN: El ataque contra https que afecta 33% de los sitios de la web

A mi me paso parecido ,...aunque me han hido llegando escalonadamente , primero lo mas vital , las openssl ..y 20 o 30 paquetes relacionados, al dia siguiente otros 10 0 15  y hoy otros pocos mas.

El problema que yo voy a tener es que tengo un mogollon de paquetes "third party"  ,,,  es decir , no hay repos , son compilados y añadidos por mi al sistema para extender sus capacidades por ejemplo multimedia ... y esas me va a costar verlas...o por que son dependencias para hacer funcionar aplicaciones pentest o wifi o lo que sea.  sad

Desconectado

#5 05-03-2016 03:50:09

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: DROWN: El ataque contra https que afecta 33% de los sitios de la web

Me malea solo pensar en ello,,,, animo y suerte compadre, tu puedes con ellos wink

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: vocerildo
Usuarios registrados conectados: 0
Invitados conectados: 4

Estadisticas de los foros

Número total de usuarios registrados: 355
Número total de temas: 615
Número total de mensajes: 4,217

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20