Уязвимости подвержены версии OpenSSL с 1.0.1 по 1.0.1f, вышедшая вчера версия 1.0.1g ее устраняет. Ветки 1.0.0 и 0.9.8 не затронуты.

Фактически это означает, что в течение двух с лишним лет кто угодно мог тихо накапливать приватные ключи и прослушивать трафик как бы защищенных соединений. Теперь администраторам предстоит увлекательная работа по отзыву и перевыпуску всех ключей, использованных в сочетании с OpenSSL 1.0.1, а также тщательному перетряхиванию всей критичной информации, которую это могло зацепить.

Что самое неприятное, атака может привести к утечке чего угодно, что находится в этот момент в памяти сервера - хэши, пароли, личные сведения и т.п., при этом в логах не останется никаких следов. С учетом того, что OpenSSL используется в Apache, Tor, nginx, возможный ущерб пока просто не поддается оценке. Уже слышны рассказы про две трети всех существующих сайтов; в реальности все не так печально, хоть по иронии судьбы больше всего пострадали те, кто больше заботился о безопасности.

А есть ведь еще куча домашних роутеров, пользователи которых вообще не представляют, что там используется и как это исправлять, даже если производители спохватятся относительно быстро. В целом, ощущения от случившегося и возможных последствий - катастрофа с большой буквы П (как написал Шнайер, 11 по шкале от 1 до 10).

Источник: The Heartbleed Bug

теги: уязвимости, ssl  |  предложить новость  |  обсудить  |  все отзывы (11)

[5607]

назад «  » вперед

аналогичные материалы Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22 Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29 Атака в стиле Meltdown на iOS/macOS-браузеры // 25.10.23 22:40 Массовое внедрение вредоносного кода в драйверы Windows // 17.07.23 01:42 Переполнение буфера остается самой опасной уязвимостью // 30.06.23 23:32 Уязвимость в KeePass // 21.05.23 19:20 Критичная уязвимость в OpenSSL оказалась двумя не столь критичными // 02.11.22 02:25

последние новостиBugTraq.Ru: последние новости Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // 30.03.24 17:23 Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22 Doom на газонокосилках // 28.02.24 17:19 Умер Никлаус Вирт // 04.01.24 14:05 С наступающим // 31.12.23 23:59 Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29 Google Drive находит файлы // 07.12.23 01:46

Комментарии: российские банки блокируют карты из-за массовой утечки данных на сайте РЖД 07.05.14 17:56   Автор: Zef <Alloo Zef> Статус: Elderman Отредактировано 07.05.14 17:57  Количество правок: 1 <"чистая" ссылка> http://txt.newsru.com/finance/07may2014/banks_cards.html А "Был-ли мальчик-то?" Или эти онанимы просто таким способом РЖД и ВТБ приложили? Главное, что уже устранили баг.. 14.04.14 11:59   Автор: Олег Статус: Незарегистрированный пользователь <"чистая" ссылка> Мило, блумберг заявил о том, что АНБ(NSA) юзало эту юязвимость. В ответ получены невнятные отмазки в твиттере 12.04.14 20:02   Автор: kstati <Евгений Борисов> Статус: Elderman Отредактировано 12.04.14 20:04  Количество правок: 1 <"чистая" ссылка> bloomerg ну это пока несерьезно - блумберг озвучил очевидные подозрения, ссылаясь на два неназванных источника 13.04.14 00:43   Автор: dl <Dmitry Leonov> <"чистая" ссылка> угу. но блумберг вроде как не желтая пресса. посмотрим-с. может быть доказательства предоставит. 13.04.14 08:16   Автор: kstati <Евгений Борисов> Статус: Elderman <"чистая" ссылка> Внесенная в декабре 2011 года при реализации расширения Heartbeat 12.04.14 13:58   Автор: Zef <Alloo Zef> Статус: Elderman <"чистая" ссылка> Дык ее че, спецом туда внесли?! кто ж его сейчас разберет; автор уверяет, что случайно 12.04.14 16:53   Автор: dl <Dmitry Leonov> <"чистая" ссылка> Я считаю что да, умышленно хорошо подумав... 12.04.14 16:38   Автор: leo <Леонид Юрьев> Статус: Elderman <"чистая" ссылка> Дык это ж 2, ну очень, большие разницы! 14.04.14 18:05   Автор: Zef <Alloo Zef> Статус: Elderman <"чистая" ссылка> Если случайно, то велика вероятность, что никто не воспользовался. А если спецом, то вероятность 100% и остается толькосчитать, кого куда и насколько использовали... Знающие люди по-любому воспользовались, остается только... 21.04.14 12:37   Автор: Олег Статус: Незарегистрированный пользователь <"чистая" ссылка> Знающие люди по-любому воспользовались, остается только гадать в каких масштабах Жесть какая... Толи стырили чего, толи нет, одмины явно не спеша будут заниматься «отзывами и перевыпусками». 09.04.14 01:40   Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 09.04.14 01:42  Количество правок: 2 <"чистая" ссылка> И во время этого занятия будут грязно материться… ))

<добавить комментарий>