Дырка в OpenSSL

[kvirtu 315]

В системе защиты и сертификации данных OpenSSL обнаружена серьезная уязвимость, сообщается на сайте проекта.

Баг позволяет получить доступ к ключам шифрования и личным перепискам пользователей крупнейших сайтов и сервисов интернета. При этом не остается никаких следов проникновения в систему.

Во время одной из процедур расширения Heartbeat для протокола TLS/DTLS не происходит необходимая проверка границ. Из-за этого любой может получить доступ к оперативной памяти компьютеров, а также к секретным ключам, именам и паролям пользователей и всему контенту, который защищен уязвимой версией OpenSSL. Она используется в сервисах почты, мессенджеров, VPN, на серверах Nginx и Apache и в огромном количестве других программ.

Оказалось, что уязвимость существовала в продуктах OpenSSL более двух лет. Она присутствует во всех версиях OpenSSL 1.0.1 и OpenSSL 1.0.2-beta. Седьмого апреля вышло защищенное обновление OpenSSL 1.0.1g. НоЧтобы обезопасить сайты и сервисы от утечки данных, недостаточно просто установить версию OpenSSL. Необходимо также обновить ключи шифрования, сертификаты и все ключи сессий. Представители ресурсов, использовавших уязвимую OpenSSL, обязаны предупредить своих пользователей о возможной утечке паролей.

Баг обнаружили специалисты по информационной безопасности из компании Codenomicon, которые создали специальный сайт Heartbleed.com. На нем подробно объясняются детали уязвимости и мер безопасности, которые следует предпринять.

«Баги в ПО или библиотеки появляются и исчезают, и устраняются с новыми версиями. Но этот баг сделал доступными огромное количество личных ключей и другой частной информации. Учитывая длительный срок существования уязвимости, простоты в ее использовании и отсутствия следов атак, нельзя не воспринимать этот баг серьезно», — сообщили исследователи, обнаружившие уязвимость.

 

источник