Уязвимость в OpenSSL

1 Отзыв

Сегодня была обнаружена серьёзная уязвимость в OpenSSL. Ему присвоен CVE-2014-0160.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур Heartbeat для протокола TLS. Кто угодно может получить доступ к оперативной памяти компьютеров, кто использует уязвимую версию OpenSSL Злоумышленник может получить доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде, не оставляя при этом следов проникновения.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:

  • Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5, OpenSSL 1.0.1e-15)
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

 

Проверить сервис на уязвимость можно тут.

Техническое описание бага тут.

Современные дистрибутивы уже обновили OpenSSL и достаточно лишь обновить свою систему.

 

Possibly Related Posts:


Рубрика: Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

1 Отзыв на «Уязвимость в OpenSSL»


  1. Роман Юдичев

    Перевод технического описание бага и дискуссия на Хабре: http://habrahabr.ru/post/218691/ .