<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 8, 2014 at 7:42 PM, Dave Morley <span dir="ltr"><<a href="mailto:davmor2@davmor2.co.uk" target="_blank">davmor2@davmor2.co.uk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="">On 08/04/14 19:38, Andy Wootton wrote:<br>
> I heard about this last night (via a Twitter doge joke) but SSL was<br>
> upgraded when I logged into Ubuntu this morning. There was some advice<br>
> about changing your VPN keys somewhere, if you're very concerned about<br>
> security.<br>
><br>
> "so compromise"<br>
><br>
> Woo<br>
><br>
> On 08/04/14 18:13, Mark Croft wrote:<br>
>> just reading this from devon linux user group , sounds serious ,<br>
>> bugs/flaw/hole in cryptographic software library<br>
>><br>
>> "Researchers have discovered an extremely critical defect in the<br>
>> cryptographic software library an estimated two-thirds of Web servers<br>
>> use to identify themselves to end users and prevent the eavesdropping<br>
>> of passwords, banking credentials, and other sensitive data."<br>
>><br>
>><br>
>> ---------- Forwarded message ----------<br>
>> From: Martijn Grooten <<a href="mailto:martijn@lapsedordinary.net">martijn@lapsedordinary.net</a>><br>
>> Date: 8 April 2014 09:10<br>
>> Subject: [LUG] OpenSSL 1.0.1 "Heartbleed" vulnerability<br>
>> To: <a href="mailto:list@dcglug.org.uk">list@dcglug.org.uk</a><br>
>><br>
>><br>
>> Things rarely get more serious than this:<br>
>><br>
>> <a href="http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/" target="_blank">http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/</a><br>

>><br>
>> <a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a><br>
>><br>
>> Martijn.<br>
>><br>
>><br>
<br>
</div>So the fix for Ubuntu is already out,  Freenode had an outage this<br>
morning as their reboot for the SSL fix went into place.  On the whole I<br>
think we are looking good for the fix Everyone updating and revoking and<br>
replacing their SSL keys on the other hand could take any amount of time :(<br>
<span class=""></span></blockquote><div><br></div><div>Indeed the CA's might be busy over the next few weeks.  GitHub has gone to the <br>extent of reissuing and revoking their SSL keys: <a href="https://github.com/blog/1818-security-heartbleed-vulnerability">https://github.com/blog/1818-security-heartbleed-vulnerability</a><br>
</div></div><br></div></div>