Jump to content
Local
  • ×   Pasted as rich text.   Restore formatting

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By kvirtu
      В системе защиты и сертификации данных OpenSSL обнаружена серьезная уязвимость, сообщается на сайте проекта.

      Баг позволяет получить доступ к ключам шифрования и личным перепискам пользователей крупнейших сайтов и сервисов интернета. При этом не остается никаких следов проникновения в систему.

      Во время одной из процедур расширения Heartbeat для протокола TLS/DTLS не происходит необходимая проверка границ. Из-за этого любой может получить доступ к оперативной памяти компьютеров, а также к секретным ключам, именам и паролям пользователей и всему контенту, который защищен уязвимой версией OpenSSL. Она используется в сервисах почты, мессенджеров, VPN, на серверах Nginx и Apache и в огромном количестве других программ.

      Оказалось, что уязвимость существовала в продуктах OpenSSL более двух лет. Она присутствует во всех версиях OpenSSL 1.0.1 и OpenSSL 1.0.2-beta. Седьмого апреля вышло защищенное обновление OpenSSL 1.0.1g. НоЧтобы обезопасить сайты и сервисы от утечки данных, недостаточно просто установить версию OpenSSL. Необходимо также обновить ключи шифрования, сертификаты и все ключи сессий. Представители ресурсов, использовавших уязвимую OpenSSL, обязаны предупредить своих пользователей о возможной утечке паролей.

      Баг обнаружили специалисты по информационной безопасности из компании Codenomicon, которые создали специальный сайт Heartbleed.com. На нем подробно объясняются детали уязвимости и мер безопасности, которые следует предпринять.

      «Баги в ПО или библиотеки появляются и исчезают, и устраняются с новыми версиями. Но этот баг сделал доступными огромное количество личных ключей и другой частной информации. Учитывая длительный срок существования уязвимости, простоты в ее использовании и отсутствия следов атак, нельзя не воспринимать этот баг серьезно», — сообщили исследователи, обнаружившие уязвимость.
       
      источник
×