<html><head><meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /></head><body text="#000000" bgcolor="#FFFFFF">Information leakage.  Any query strings, post variables, responses, etc.<br>
And if you use e.g. mod_php or mod_Perl, internal variable state.<br>
Notably this includes *decrypted* credit card #s.<br>
-Adam<br><br><div class="gmail_quote">On April 10, 2014 7:03:58 PM CDT, Paul Sierks &lt;psierks@sierkstech.net&gt; wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

  
    
  
  
    Regarding this attack, the main thing that could be compromised is
    the ssl private key. But other than that what else could be leaked?
    Anything in memory of the process / service being exploited.
    Passwords hashes possibly even plaintext for email, etc. As long as
    the process(es) in question aren't running as root, damage shouldn't
    be too bad. Things such as oh, the shadow file, or private ssh keys,
    still remaining safe. Hopefully I'm not missing anything with this
    vulnerability but if I am I'd sure like to know.<br />
    <br />
    Thanks,<br />
    Paul<br />
    <br />
    <div class="moz-cite-prefix">On 04/10/2014 06:28 PM, Adam Thompson
      wrote:<br />
    </div>
    <blockquote cite="mid:44cb8b9c-b424-4251-8a52-285ba6fdd521@email.android.com" type="cite">Most SSL certificate providers are allowing their
      customers to revoke &amp; reissue certificates at no charge as
      long as none of the details (including verification method)
      change.<br />
      -Adam<br />
      <br />
      <br />
      <div class="gmail_quote">On April 10, 2014 6:04:18 PM CDT, Trevor
        Cordes <a class="moz-txt-link-rfc2396E" href="mailto:trevor@tecnopolis.ca">&lt;trevor@tecnopolis.ca&gt;</a> wrote:
        <blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt
          0.8ex; border-left: 1px solid rgb(204, 204, 204);
          padding-left: 1ex;">
          <pre class="k9mail">Most people have probably heard about this already, but if not, *patch 
your OpenSSL now!* and restart your daemons.

CVE-2014-0160

<a moz-do-not-send="true" href="http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping">http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping</a>/

For some reason you (sometimes) have to reload that page a few times 
before it actually loads.

This is the worst bug I've seen in like 10 years, insofar as you may have 
been compromised already, but you don't (can't!) know it and they may be 
sitting there with your keys, waiting to actually make use of them at a 
later date.

>From how I read it, the only way to be safe &amp; sure is to make a new CSR 
and buy a new SSL cert?  Or are the cert vendors going to offer a "redo" 
for free?
<hr />
Roundtable mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Roundtable@muug.mb.ca">Roundtable@muug.mb.ca</a>
<a moz-do-not-send="true" href="http://www.muug.mb.ca/mailman/listinfo/roundtable">http://www.muug.mb.ca/mailman/listinfo/roundtable</a>
</pre>
        </blockquote>
      </div>
      <br />
      -- <br />
      Sent from my Android device with K-9 Mail. Please excuse my
      brevity.
      <br />
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br />
      <pre wrap="">_______________________________________________
Roundtable mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Roundtable@muug.mb.ca">Roundtable@muug.mb.ca</a>
<a class="moz-txt-link-freetext" href="http://www.muug.mb.ca/mailman/listinfo/roundtable">http://www.muug.mb.ca/mailman/listinfo/roundtable</a>
</pre>
    </blockquote>
    <br />
  

<p style="margin-top: 2.5em; margin-bottom: 1em; border-bottom: 1px solid #000"></p><pre class="k9mail"><hr /><br />Roundtable mailing list<br />Roundtable@muug.mb.ca<br /><a href="http://www.muug.mb.ca/mailman/listinfo/roundtable">http://www.muug.mb.ca/mailman/listinfo/roundtable</a><br /></pre></blockquote></div><br>
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.</body></html>