Image
11.4.2014 0 Comments

„Katastrofická“ chyba v OpenSSL ohrozuje dve tretiny všetkých webových serverov. Skontrolujte ten váš.

openssl_secure.png Projekt OpenSSL zverejnil informáciu o kritickej bezpečnostnej chybe v protokole, ktorá by mohla vystaviť ohrozeniu kryptografické kľúče a súkromnú komunikáciu na niektorých z najdôležitejších webových lokalít a internetových služieb. Všetci prevádzkovatelia serverov s OpenSSL 1.0.1 až po 1.0.1f (verzie vydané od marca 2012) musia okamžite aktualizovať na OpenSSL 1.0.1g. Zraniteľnosť sa týka aj beta verzie OpenSSL 1.0.2.

Chyba sa nachádza v implementácii rozšírenia Heartbeat, ktoré umožňuje jednej strane komunikácie SSL zaslať správu na potvrdenie funkčnosti spojenia, na ktorú druhá strana odpovedá svojou správou. Bezpečnostná chyba umožňovala útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu spojenia SSL ľubovoľných 64 kB dát. Opakovaním útoku môže útočník získať hoci aj celú pamäť napr. servera poskytujúceho zabezpečené stránky HTTPS.

Chybu nezávisle od seba objavili bezpečnostná firma Codenomicon a bezpečnostný inžinier Googlu Neel Mehta.

Podrobné vysvetlenie problému a jeho možných dôsledkov nájdete na heartbleed.com. „Chyba ohrozuje tajné kľúče slúžiace na identifikáciu poskytovateľa služby a šifrovanie prevádzky, ako aj mená a heslá používateľov a aktuálny obsah,“ píše sa na stránkach venovaných tejto zraniteľnosti.

Podľa niektorých odhadov sa táto kritická chyba môže týkať až 66 percent webových stránok. Najvýznamnejší softvér používajúci OpenSSL sú totiž open source webové servery Apache a nginx, ktoré majú podľa nedávneho prieskumu spoločnosti Netcraft takýto podiel na celkovom počte aktívnych webových stránok.

Bezpečnostný expert Bruce Schneier označil chybu za „katastrofickú“. Podľa neho je to na desaťstupňovej stupnici stupeň číslo 11. „Rovnako ako aktualizácia je dôležité aj to, aby používatelia všetkých ovplyvnených webových stránok zmenili svoje heslá.“

Po opravení systému budú musieť prevádzkovatelia stránok získať nový pár kľúčov súkromný/verejný a aktualizovať certifikát SSL.

Zdroj: thenextweb.com
theinquirer.net


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

DARPA pripravuje v rámci programu Gunslinger projekt „lietajúcej zbrane“

20.02.2020 00:03

V rámci programu Gunslinger sa budú vyvíjať a demonštrovať technológie, ktoré umožnia vytvoriť vzdušný taktický raketový systém, schopný podporiť rôzne misie. Mal by spájať vysokú ovládateľnosť raketo ...

Bezpečnosť

Hackeri by mohli odstaviť satelity alebo ich premeniť na zbrane

17.02.2020 00:04

V januári sa spoločnosť SpaceX stala prevádzkovateľom najväčšej aktívnej satelitnej konštelácie na svete. Tá pozostáva z 242 satelitov obiehajúcich okolo planéty, v nasledujúcom desaťročí ich chce fir ...

Bezpečnosť 2

Počítač s Windows je vraj menej náchylný na infikovanie malvérom ako Mac

14.02.2020 00:20

Antivírusová spoločnosť Malwarebytes v týchto dňoch zverejnila rozsiahlu správu o výskyte rôznych typov škodlivého softvéru v rôznych operačných systémoch. Najzaujímavejšie zistenie je to, že počítače ...

Žiadne komentáre

Vyhľadávanie

itSMF 2020

Najnovšie videá