Перейти к содержимому
Local
kvirtu

Дырка в OpenSSL

Рекомендованные сообщения

В системе защиты и сертификации данных OpenSSL обнаружена серьезная уязвимость, сообщается на сайте проекта.

Баг позволяет получить доступ к ключам шифрования и личным перепискам пользователей крупнейших сайтов и сервисов интернета. При этом не остается никаких следов проникновения в систему.

Во время одной из процедур расширения Heartbeat для протокола TLS/DTLS не происходит необходимая проверка границ. Из-за этого любой может получить доступ к оперативной памяти компьютеров, а также к секретным ключам, именам и паролям пользователей и всему контенту, который защищен уязвимой версией OpenSSL. Она используется в сервисах почты, мессенджеров, VPN, на серверах Nginx и Apache и в огромном количестве других программ.

Оказалось, что уязвимость существовала в продуктах OpenSSL более двух лет. Она присутствует во всех версиях OpenSSL 1.0.1 и OpenSSL 1.0.2-beta. Седьмого апреля вышло защищенное обновление OpenSSL 1.0.1g. НоЧтобы обезопасить сайты и сервисы от утечки данных, недостаточно просто установить версию OpenSSL. Необходимо также обновить ключи шифрования, сертификаты и все ключи сессий. Представители ресурсов, использовавших уязвимую OpenSSL, обязаны предупредить своих пользователей о возможной утечке паролей.

Баг обнаружили специалисты по информационной безопасности из компании Codenomicon, которые создали специальный сайт Heartbleed.com. На нем подробно объясняются детали уязвимости и мер безопасности, которые следует предпринять.

«Баги в ПО или библиотеки появляются и исчезают, и устраняются с новыми версиями. Но этот баг сделал доступными огромное количество личных ключей и другой частной информации. Учитывая длительный срок существования уязвимости, простоты в ее использовании и отсутствия следов атак, нельзя не воспринимать этот баг серьезно», — сообщили исследователи, обнаружившие уязвимость.

 

источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: chuk3
      Всем хорошего дня!
      Есть проблемка, прописал все настройки для RED-SMS, но при проверке баланса сверху появляется:
      Warning: file_get_contents() [function.file-get-contents]: Unable to find the wrapper "https" - did you forget to enable it when you configured PHP? in /usr/local/www/apache22/data/billing/api/libs/api.senddog.php on line 365

      Warning: file_get_contents(https://lk.redsms.ru/get/timestamp.php) [ function.file-get-contents]: failed to open stream: No such file or directory in /usr/local/www/apache22/data/billing/api/libs/api.senddog.php on line 365
       
      Понимаю что не включен
      OpenSSL support disabled (install ext/openssl)
      Не пойму как включить, в php.ini прописано extension = php_openssl.so, но самого файла нет, перекопал не первый раз инет нигде его нет, может он в составе php есть и надо распаковать?
      Подкиньте идею куда копать?
      Спасибо всем заранее.
×