https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html Пример блокирования [[http://www.opennet.ru/opennews/art.shtml?num=39518 критической уязвимости]] CVE-2014-0160 в OpenSSL 1.0.1, позволяющей получить содержимое памяти удалённых серверных и клиентских приложений.<br><br><br>Отражаем в логе все heartbeat-запросы при помощи iptables и модуля u32:<br><br> iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"<br><br>Блокируем heartbeat-запросы:<br><br> iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP<br><br>Отслеживаем возможные атаки при помощи Wireshark:<br><br> tshark -i interface port 443 -R 'frame[68:1] == 18'<br> tshark -i interface port 443 -R 'ssl.record.content_type == 24'<br><br><br><br>URL: http://www.securityfocus.com/archive/1/531779/30/0/threaded<br>Обсуждается: http://www.opennet.ru/tips/info/2830.shtml<br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#36 Mon, 09 Jun 2014 18:45:51 GMT Пади ж ты, а сколько в самой Цыцке анального добра помимо этой уязвимости в библиотеке OpenSSL, которая из проекта OpenBSD.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#35 Mon, 02 Jun 2014 07:41:49 GMT Например, не в любом продакшне вы можете с лёгкостью апдейтить пакеты :).<br>Некоторым проще временно (с) добавить правило в файрволл, а потом, при возможности - сделать yum update openssl :).<br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#34 Wed, 28 May 2014 05:44:36 GMT &gt; связалась циска с линуксом и получила себе такой подарок..<br><br>Тебе с РИПом в мозгу даже такой подарок не светит. Передёргивать с openssl на "линукс", как симптоматично... Пациент, таблетки!<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#33 Tue, 27 May 2014 15:35:39 GMT связалась циска с линуксом и получила себе такой подарок..<br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#32 Sun, 25 May 2014 00:35:39 GMT тогда почему там DROP, а не TARPIT?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#30 Wed, 14 May 2014 05:37:38 GMT &gt; Кто расскажет, зачем эти попытки блокировать, если уязвимость устранена?<br><br>Для экономии электричества.<br>На своей стороне, и перевод её, экономии, в расход на стороне ботнета.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#29 Tue, 13 May 2014 20:50:18 GMT Кто расскажет, зачем эти попытки блокировать, если уязвимость устранена?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#28 Sun, 11 May 2014 07:24:11 GMT Уязвимые продукты Киски. Список будет обновляться по мере расследования инцидентов.<br><br> Cisco Agent for OpenFlow [CSCuo30098]<br> Cisco AnyConnect Secure Mobility Client for iOS [CSCuo17488]<br> Cisco ASA CX Context-Aware Security [CSCuo24523]<br> Cisco Common Services Platform Collector [CSCuo29151]<br> Cisco Desktop Collaboration Experience DX650 [CSCuo16892]<br> Cisco Edge 300 Digital Media Player [CSCuo24304]<br> Cisco Edge 340 Digital Media Player [CSCuo24301]<br> Cisco Expressway Series [CSCuo16472]<br> Cisco FireAMP Private Cloud virtual appliance<br> Cisco IOS XE [CSCuo19730]<br> Cisco Cisco Internet Streamer CDS [CSCuo31566]<br> Cisco Jabber Video for TelePresence (Movi) [CSCuo28855]<br> Cisco MATE Products [CSCuo54599]<br> Cisco Mobility Service Engine (MSE) [CSCuo20622]<br> Cisco MS200X Ethernet Access Switch [CSCuo18736]<br> Cisco OnePK All-in-One VM [CSCuo19843]<br> Cisco ONS 15454 Series Multiservice Provisioning Platforms [CSCuo22921]<br> Cisco Prime Collaboration Deployment https://ssl.opennet.dev/openforum/vsluhforumID3/95324.html#26 Sat, 03 May 2014 06:22:28 GMT &gt; Читать документацию Mikrotik, в которой сказано, что RouterOS данной проблеме не подвержена, <br>&gt; так как использует openssl более старой версии.<br><br>Мне это надо что бы мониторить сквозной трафик из вне в dmz на предмет попыток<br>