Image
11.4.2014 0 Comments

„Katastrofická“ chyba v OpenSSL ohrozuje dve tretiny všetkých webových serverov. Skontrolujte ten váš.

openssl_secure.png Projekt OpenSSL zverejnil informáciu o kritickej bezpečnostnej chybe v protokole, ktorá by mohla vystaviť ohrozeniu kryptografické kľúče a súkromnú komunikáciu na niektorých z najdôležitejších webových lokalít a internetových služieb. Všetci prevádzkovatelia serverov s OpenSSL 1.0.1 až po 1.0.1f (verzie vydané od marca 2012) musia okamžite aktualizovať na OpenSSL 1.0.1g. Zraniteľnosť sa týka aj beta verzie OpenSSL 1.0.2.

Chyba sa nachádza v implementácii rozšírenia Heartbeat, ktoré umožňuje jednej strane komunikácie SSL zaslať správu na potvrdenie funkčnosti spojenia, na ktorú druhá strana odpovedá svojou správou. Bezpečnostná chyba umožňovala útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu spojenia SSL ľubovoľných 64 kB dát. Opakovaním útoku môže útočník získať hoci aj celú pamäť napr. servera poskytujúceho zabezpečené stránky HTTPS.

Chybu nezávisle od seba objavili bezpečnostná firma Codenomicon a bezpečnostný inžinier Googlu Neel Mehta.

Podrobné vysvetlenie problému a jeho možných dôsledkov nájdete na heartbleed.com. „Chyba ohrozuje tajné kľúče slúžiace na identifikáciu poskytovateľa služby a šifrovanie prevádzky, ako aj mená a heslá používateľov a aktuálny obsah,“ píše sa na stránkach venovaných tejto zraniteľnosti.

Podľa niektorých odhadov sa táto kritická chyba môže týkať až 66 percent webových stránok. Najvýznamnejší softvér používajúci OpenSSL sú totiž open source webové servery Apache a nginx, ktoré majú podľa nedávneho prieskumu spoločnosti Netcraft takýto podiel na celkovom počte aktívnych webových stránok.

Bezpečnostný expert Bruce Schneier označil chybu za „katastrofickú“. Podľa neho je to na desaťstupňovej stupnici stupeň číslo 11. „Rovnako ako aktualizácia je dôležité aj to, aby používatelia všetkých ovplyvnených webových stránok zmenili svoje heslá.“

Po opravení systému budú musieť prevádzkovatelia stránok získať nový pár kľúčov súkromný/verejný a aktualizovať certifikát SSL.

Zdroj: thenextweb.com
theinquirer.net


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

5 tipov ako vybrať správny firemný firewall

19.09.2019 00:15

Kybernetickú bezpečnosť dnes čoraz viac firiem berie ako prioritu najvyššieho manažmentu. Napriek tomu mnoho organizácií stále nevie, ako správne budovať bezpečnostnú architektúru. Kľúčom k maximálne ...

Bezpečnosť

Google Nest Hub Max s Face Match vás sleduje naozaj stále

18.09.2019 00:10

Google Nest Hub Max sa javí ako pomerne inteligentné zariadenie. Má niekoľko zaujímavých funkcií, okrem iného dokáže zobraziť kalendár alebo obsah prispôsobený osobe, ktorá sa naň pozerá. To všetko b ...

Bezpečnosť

6 najväčších podnikových e-mailových hrozieb

17.09.2019 00:05

V roku 2019 je podľa niektorých odhadov poslaných a prijatých okolo 300 miliárd obchodných a osobných e-mailov každý deň a toto číslo do budúcnosti porastie, hlavne vo firemnej sfére. Rastúca e-mailo ...

q

Žiadne komentáre

Vyhľadávanie

ACER_092019

Najnovšie videá

elearn

IT GALA stvorec 2019