You need to sign in or sign up before continuing.
Select Git revision
heartbleed.md 5.63 KiB
heartbleed
un système vulnérable ...
sudo apt-get install nginxsurtout pas d'upgrade pour garder des services vulnérables ;)
architecture typique
- nginx route le traffic http (80/443)
- vers d'autres serveurs web
- dans notre cas une debian
- avec apache
- dans notre cas une debian
- vers d'autres serveurs web
Note:
- appli node sur port exotique
- possibilité de filtrage de requête
- load balancing pour pas cher
- accessoirement nickel pour les migrations
nginx
upstream debian80 {
server 172.16.76.144:80;
}
server {
listen 80;
server_name heart.bleed;
# don't mess with security :p
rewrite ^ https://heart.bleed$request_uri? permanent;
}
server {
listen 443;
server_name heart.bleed;
ssl on;
ssl_certificate /etc/nginx/ssl/keys/heartbleed.crt;
ssl_certificate_key /etc/nginx/ssl/keys/heartbleed.key;
location / {
proxy_pass http://debian80/;
proxy_set_header Host $http_host;
}
}heartbleed
- découverte en mars 2014
- par Google & Codenomicon
- présente depuis mars 2012
- introduite à la suite d'un "bug fix" par un contributeur bénévole
- validée le 31 décembre 2011
- introduite à la suite d'un "bug fix" par un contributeur bénévole
- faille d'implémentation dans openssl
impact
-
Bruce Schneier la positionne à 11 sur une échelle de 1 à 10
- Qui savait?
- Qui a pu exploiter?
