Mastodawn

#Sudo, #Heartbleed, and the Lessons We Still Haven’t Learned

https://fossforce.com/2026/02/sudo-heartbleed-and-the-lessons-we-still-havent-learned/

Sudo, Heartbleed, and the Lessons We Still Haven’t Learned - FOSS Force

We fixed Heartbleed. We didn’t fix the open source funding problem that still asks the people securing our infrastructure to volunteer.

FOSS Force

Show thread

circus_maximus Jan 14

@carlamelee @AwetTesfaiesus
Volle Zustimmung zur literarischen Knoblauchsauce! Letztens erklären wollen wieso ich zu #FOSS beitrage, zusammenfassung war: weil es mir wichtig ist. Mehr Motivationen wären wichtig, insbesondere wenn jetzt die Aufmerksamkeit steigt und der öffentliche Diskurs in diese Richtung gehen soll, wäre zumindest eine Anerkennung der Gemeinnützigkeit sinnvoll.

Eigentlich hätte uns bei #heartbleed schonmal auffallen müssen, dass freie Software gefördert werden muss (1v2)

Le site de Korben Dec 28

MongoBLEED - La faille critique qui fait fuir la mémoire de votre MongoDB

https://fed.brid.gy/r/https://korben.info/mongobleed-faille-mongodb-memoire.html

heise Developer Oct 31

Aus Softwarefehlern lernen – Teil 6: Eine Zeile Code mit fatalen Auswirkungen

Minimale Fehler in einer Zeile können schwere Sicherheitslücken aufreißen – die Heartbleed- und Apples goto-fail-Schwachstelle haben es der Welt gezeigt.

https://www.heise.de/hintergrund/Aus-Softwarefehlern-lernen-Teil-6-Eine-Zeile-Code-mit-fatalen-Auswirkungen-10963436.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#Heartbleed #IT #Programmierung #Sicherheitslücken #Softwareentwicklung #news

Aus Softwarefehlern lernen – Teil 6: Eine Zeile Code mit fatalen Auswirkungen

Minimale Fehler in einer Zeile können schwere Sicherheitslücken aufreißen – die Heartbleed- und Apples goto-fail-Schwachstelle haben es der Welt gezeigt.

Developer

Matt "msw" Wilson Sep 5, 2025

Thinking about #InfoSec organizational behaviors derived from cognitive bias. In particular, availability bias from things that are memorable.

#Log4j #Heartbleed #SolarWinds #ShellShock #Spectre #Meltdown #SQLSlammer

аккаунт более неактивен Aug 31, 2025

Про #TLS, SSL-сертификаты и «Театр безопасности».
Когда браузер не ругается на #https -соединение, то это ничего не означает. Поскольку сертификат посещённого сайта:
1. может быть фальшивым, но заверенным как положено.
2. давно украден и даже отозван владельцем.

Самый простой сценарий — кража секретного ключа от сертификата — компрометация из-за халатности или же технических уязвимостей. Heartbleed один из наиболее известных и ярких примеров, сотни тысяч серверов оказались уязвимы. У многих секретные ключи к сертификатам без ведома админов или владельцев утекли совершенно по тихому за год-два до того, как о #Heartbleed стало известно общественности.

Фальшивые сертификаты — когда у одного домена несколько сертификатов, заверенных надлежащим образом (всё нормально с цепочкой доверия). Для публики один, а для отдельной группы пользователей подсовывается другой. Про существование нескольких сертификатов админы и владельцы ресурса (сервера) ни сном ни духом — верят, что великие и могучие удостоверяющие центры выдавали лишь один единственный сертификат для этого сайта\сервиса.
Происходит такое по разным причинам.

2013 год, французы и Google, включая официальное заявление государственного ведомства.
Фиктивные сертификаты для некоторых доменов Google с использованием промежуточного сертификата Агентства по сетевой и информационной безопасности Франции #ANSSI. Во внутренней сети агентства было инспектирование зашифрованного трафика пользователей. Развёрнуто с нарушениями — инспектировался защищённый трафик не только доменов французских правительственных структур, казначейство Франции ("DG Trésor") генерировало сертификаты и для сторонних доменов.

2013 год, фиктивные сертификаты #TurkTrust на *.google.com, атаки на пользователей сервисов Google и других компаний. В августе 2011 года вместо обычных SSL-сертификатов двум организациям выписал вторичные корневые, пригодные для генерации SSL-сертификатов.

2015 год, опять вокруг Google центр #CNNIC (China Internet Network Information Center) передал MCS промежуточный корневой сертификат для использования с доменами, зарегистрированными данной компанией. Закрытый ключ не был помещён в HSM (Hardware Security Module), а установлен в #MITM -прокси для перехвата защищённых соединений (контроля за сотрудниками корпорации). Прокси на лету генерировал корректные сертификаты для любых сайтов (сервисов).

Таких историй много, отсюда и потребность в Certificate Transparency и лог-серверах от разных организаций.

#crypto #security #privacy #CertificateTransparency
@russian_mastodon @Russia

Heartbleed Bug

mohs Aug 25, 2025

Unerwarteter Indikator dafür alt geworden zu sein:
#Heartbleed ist schon 11 Jahre her!

sekurak News Jul 8, 2025

CitrixBleed II – kolejny błąd powodujący, że serwer zwraca więcej danych niż powinien

Większość naszych Czytelników zapewne kojarzy krytyczną podatność OpenSSL – Heartbleed, która stała się niemal książkowym przykładem błędu, który dotyka bardzo szerokiego grona użytkowników. Za sprawą błędnej obsługi rozmiaru przesyłanego bufora w nowo dodanym rozszerzeniu TLS/DTLS Heartbeat, możliwe było zdalne odczytanie aż do 64k bajtów pamięci klienta lub serwera. Zdarzało się,...

#WBiegu #Citrix #Heartbleed #Netscaler #OutOfBoundRead #Podatność

https://sekurak.pl/citrixbleed-ii-kolejny-blad-powodujacy-ze-serwer-zwraca-wiecej-danych-niz-powinien/

CitrixBleed II - kolejny błąd powodujący, że serwer zwraca więcej danych niż powinien

Sekurak

Herzmut Mar 26, 2025

Warum noch mal war unsere kritische Infrastruktur im Netz, wie #letsencrypt oder #OpenVPN, von der US-Regierung abhängig?

Irgendwann braucht man nach #Heartbleed und #GnuPG-Krise auch nicht mehr Snowden zitieren, wenn die einzige Konsequenz, die man da nicht gezogen hat, die ist, dass Open Source-Entwicklung auch Geld kostet.

Und dass man das am besten auch nicht allein einer alle vier Jahre wechselnden Regierung überlässt.

#KRITIS #Privacy #Tor