Разработчики OpenSSL устранили критическую уязвимость

image

Теги: уязвимость, обновление, шифрование

В криптографической библиотеке обнаружили ошибку при обработке границ данных.

Как сообщают разработчики OpenSSL, им удалось обнаружить и устранить критическую уязвимость в популярной криптографической библиотеке. Согласно опубликованному экспертами бюллетеню безопасности, причиной появления бреши послужило отсутствие проверки границ данных в компоненте Heartbeat, который используется протоколом TLS/DTLS.

Стоит отметить, что уязвимость позволяет потенциальному злоумышленнику удаленно получить неограниченный доступ к оперативной памяти системы, использующей OpenSSL. Атакующий может раскрыть любую информацию, которая должна передаваться в зашифрованном виде, не оставляя при этом никаких следов компрометации.

Исследователи также отмечают, что данная брешь присутствовала в OpenSSL с марта 2012 года, когда была выпущена версия 1.0.1. В связи с этим разработчики настоятельно рекомендуют не только обновить библиотеку до актуальной версии 1.0.1g, но и обновить используемые в настоящий момент секретные ключи и сертификаты.

На сегодняшний день OpenSSL используется во множестве программных решений, в том числе в популярных web-серверах Apache и Nginx, VPN, IM-серверах, почтовых серверах и т.п.

Подробное описание уязвимости доступно здесь


или введите имя

CAPTCHA
0per
08-04-2014 15:02:24
сервис проверки http://filippo.io/Heartbleed/
0 |
duke
08-04-2014 15:20:24
или у него с кэшированием проблемы, либо это недоработки в двигле, потому как для запатченных сабжев все равно показывает уязвимость
0 |
0per
08-04-2014 15:28:35
или неправильно пропатчено. после сборки openssl надо делать ldconfig и пересобирать сам http сервер... апач там или что у вас...
0 |
leo
08-04-2014 16:11:36
апач-то пересобирать зачем? просто ldconfig и перезапуск апача.
0 |
x
08-04-2014 18:47:08
У кого-то на домашних роутерах работает?
0 |