
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 8, 2014 at 7:42 PM, Dave Morley <span dir="ltr"><<a href="mailto:davmor2@davmor2.co.uk" target="_blank">davmor2@davmor2.co.uk</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="">On 08/04/14 19:38, Andy Wootton wrote:<br>

> I heard about this last night (via a Twitter doge joke) but SSL was<br>

> upgraded when I logged into Ubuntu this morning. There was some advice<br>

> about changing your VPN keys somewhere, if you're very concerned about<br>

> security.<br>

><br>

> "so compromise"<br>

><br>

> Woo<br>

><br>

> On 08/04/14 18:13, Mark Croft wrote:<br>

>> just reading this from devon linux user group , sounds serious ,<br>

>> bugs/flaw/hole in cryptographic software library<br>

>><br>

>> "Researchers have discovered an extremely critical defect in the<br>

>> cryptographic software library an estimated two-thirds of Web servers<br>

>> use to identify themselves to end users and prevent the eavesdropping<br>

>> of passwords, banking credentials, and other sensitive data."<br>

>><br>

>><br>

>> ---------- Forwarded message ----------<br>

>> From: Martijn Grooten <<a href="mailto:martijn@lapsedordinary.net">martijn@lapsedordinary.net</a>><br>

>> Date: 8 April 2014 09:10<br>

>> Subject: [LUG] OpenSSL 1.0.1 "Heartbleed" vulnerability<br>

>> To: <a href="mailto:list@dcglug.org.uk">list@dcglug.org.uk</a><br>

>><br>

>><br>

>> Things rarely get more serious than this:<br>

>><br>

>> <a href="http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/" target="_blank">http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/</a><br>


>><br>

>> <a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a><br>

>><br>

>> Martijn.<br>

>><br>

>><br>

<br>

</div>So the fix for Ubuntu is already out,  Freenode had an outage this<br>

morning as their reboot for the SSL fix went into place.  On the whole I<br>

think we are looking good for the fix Everyone updating and revoking and<br>

replacing their SSL keys on the other hand could take any amount of time :(<br>

<span class=""></span></blockquote><div><br></div><div>Indeed the CA's might be busy over the next few weeks.  GitHub has gone to the <br>extent of reissuing and revoking their SSL keys: <a href="https://github.com/blog/1818-security-heartbleed-vulnerability">https://github.com/blog/1818-security-heartbleed-vulnerability</a><br>

</div></div><br></div></div>