Image
11.4.2014 0 Comments

„Katastrofická“ chyba v OpenSSL ohrozuje dve tretiny všetkých webových serverov. Skontrolujte ten váš.

openssl_secure.png Projekt OpenSSL zverejnil informáciu o kritickej bezpečnostnej chybe v protokole, ktorá by mohla vystaviť ohrozeniu kryptografické kľúče a súkromnú komunikáciu na niektorých z najdôležitejších webových lokalít a internetových služieb. Všetci prevádzkovatelia serverov s OpenSSL 1.0.1 až po 1.0.1f (verzie vydané od marca 2012) musia okamžite aktualizovať na OpenSSL 1.0.1g. Zraniteľnosť sa týka aj beta verzie OpenSSL 1.0.2.

Chyba sa nachádza v implementácii rozšírenia Heartbeat, ktoré umožňuje jednej strane komunikácie SSL zaslať správu na potvrdenie funkčnosti spojenia, na ktorú druhá strana odpovedá svojou správou. Bezpečnostná chyba umožňovala útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu spojenia SSL ľubovoľných 64 kB dát. Opakovaním útoku môže útočník získať hoci aj celú pamäť napr. servera poskytujúceho zabezpečené stránky HTTPS.

Chybu nezávisle od seba objavili bezpečnostná firma Codenomicon a bezpečnostný inžinier Googlu Neel Mehta.

Podrobné vysvetlenie problému a jeho možných dôsledkov nájdete na heartbleed.com. „Chyba ohrozuje tajné kľúče slúžiace na identifikáciu poskytovateľa služby a šifrovanie prevádzky, ako aj mená a heslá používateľov a aktuálny obsah,“ píše sa na stránkach venovaných tejto zraniteľnosti.

Podľa niektorých odhadov sa táto kritická chyba môže týkať až 66 percent webových stránok. Najvýznamnejší softvér používajúci OpenSSL sú totiž open source webové servery Apache a nginx, ktoré majú podľa nedávneho prieskumu spoločnosti Netcraft takýto podiel na celkovom počte aktívnych webových stránok.

Bezpečnostný expert Bruce Schneier označil chybu za „katastrofickú“. Podľa neho je to na desaťstupňovej stupnici stupeň číslo 11. „Rovnako ako aktualizácia je dôležité aj to, aby používatelia všetkých ovplyvnených webových stránok zmenili svoje heslá.“

Po opravení systému budú musieť prevádzkovatelia stránok získať nový pár kľúčov súkromný/verejný a aktualizovať certifikát SSL.

Zdroj: thenextweb.com
theinquirer.net


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Bezpečnosť

KillDisk útočí už aj na operačný systém Linux, ako výkupné za odšifrovanie dát chce 200-tisíc eur

10.01.2017 00:24

Výskumníci z bezpečnostnej spoločnosti ESET objavili variant škodlivého kódu KillDisk, ktorý útočí aj na operačný systém Linux. KillDisk je škodlivý kód, ktorý bol na sklonku roka 2015 použitý pri úto ...

Žiadne komentáre

Vyhľadávanie

Kyocer TASK

Najnovšie videá