Image
11.4.2014 0 Comments

„Katastrofická“ chyba v OpenSSL ohrozuje dve tretiny všetkých webových serverov. Skontrolujte ten váš.

openssl_secure.png Projekt OpenSSL zverejnil informáciu o kritickej bezpečnostnej chybe v protokole, ktorá by mohla vystaviť ohrozeniu kryptografické kľúče a súkromnú komunikáciu na niektorých z najdôležitejších webových lokalít a internetových služieb. Všetci prevádzkovatelia serverov s OpenSSL 1.0.1 až po 1.0.1f (verzie vydané od marca 2012) musia okamžite aktualizovať na OpenSSL 1.0.1g. Zraniteľnosť sa týka aj beta verzie OpenSSL 1.0.2.

Chyba sa nachádza v implementácii rozšírenia Heartbeat, ktoré umožňuje jednej strane komunikácie SSL zaslať správu na potvrdenie funkčnosti spojenia, na ktorú druhá strana odpovedá svojou správou. Bezpečnostná chyba umožňovala útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu spojenia SSL ľubovoľných 64 kB dát. Opakovaním útoku môže útočník získať hoci aj celú pamäť napr. servera poskytujúceho zabezpečené stránky HTTPS.

Chybu nezávisle od seba objavili bezpečnostná firma Codenomicon a bezpečnostný inžinier Googlu Neel Mehta.

Podrobné vysvetlenie problému a jeho možných dôsledkov nájdete na heartbleed.com. „Chyba ohrozuje tajné kľúče slúžiace na identifikáciu poskytovateľa služby a šifrovanie prevádzky, ako aj mená a heslá používateľov a aktuálny obsah,“ píše sa na stránkach venovaných tejto zraniteľnosti.

Podľa niektorých odhadov sa táto kritická chyba môže týkať až 66 percent webových stránok. Najvýznamnejší softvér používajúci OpenSSL sú totiž open source webové servery Apache a nginx, ktoré majú podľa nedávneho prieskumu spoločnosti Netcraft takýto podiel na celkovom počte aktívnych webových stránok.

Bezpečnostný expert Bruce Schneier označil chybu za „katastrofickú“. Podľa neho je to na desaťstupňovej stupnici stupeň číslo 11. „Rovnako ako aktualizácia je dôležité aj to, aby používatelia všetkých ovplyvnených webových stránok zmenili svoje heslá.“

Po opravení systému budú musieť prevádzkovatelia stránok získať nový pár kľúčov súkromný/verejný a aktualizovať certifikát SSL.

Zdroj: thenextweb.com
theinquirer.net


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Bezpečnosť 1

Ministri dopravy únie schválili prvé celoeurópske bezpečnostné pravidlá pre drony

05.12.2016 00:10

Ministri dopravy krajín Európskej únie schválili úpravu pravidiel v oblasti civilného letectva. Bezpečnosť v doprave bola pritom hlavnou témou zasadnutia, ktorého sa za predsedajúcu krajinu zúčastnil ...

Bezpečnosť 1

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá