Уязвимость в OpenSSL
Сегодня была обнаружена серьёзная уязвимость в OpenSSL. Ему присвоен CVE-2014-0160.
Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур Heartbeat для протокола TLS. Кто угодно может получить доступ к оперативной памяти компьютеров, кто использует уязвимую версию OpenSSL Злоумышленник может получить доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде, не оставляя при этом следов проникновения.
Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
- Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
- CentOS 6.5, OpenSSL 1.0.1e-15)
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
- FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.
Проверить сервис на уязвимость можно тут.
Техническое описание бага тут.
Современные дистрибутивы уже обновили OpenSSL и достаточно лишь обновить свою систему.
Перевод технического описание бага и дискуссия на Хабре: http://habrahabr.ru/post/218691/ .