Навигация

Популярные статьи

Авторские и переводные статьи

Пресс-релизы

Регистрация на сайте


Опрос
Какие телеканалы вы смотрите чаще?







В криптографическом софте OpenSSL устранен критически опасный баг


10 апреля 2014 | Софт / На русском языке / Мир | Добавил: Olga Kravtsova
Специалисты по ИТ-безопасности обнаружили критически опасный дефект в библиотеке криптографического программного обеспечения, работающего на 75% веб-серверов. Используемый софт применяется для идентификации конечных пользователей и предотвращения краж паролей, банковских реквизитов и других закрытых сведений.

Уязвимость была выявлена в программном обеспечении OpenSSL, которое по умолчанию используется в качестве крипто-библиотеки в веб-серверах Apache и Nginx, а помимо них - в десятках других популярных программ, операционных систем, клиентов электронной почты, мгновенных сообщений. Баг был выявлен во всех поддерживаемых версиях OpenSSL, выпущенных как минимум за последние два года. Через него потенциальные злоумышленники могут получать зашифрованные данные, которыми обмениваются сервер OpenSSL и целевой клиент.

Здесь речь идет о цифровых сертификатах, применяемых для аутентификации интернет-серверов и шифрования передаваемых данных. Атакующие не будут оставлять следов в серверных журналах, поэтому у администраторов практически нет шансов выявить, что серверный баг был использован хакерами. Сами разработчики говорят, что указанный баг является «экстремально критическим», однако исправление для него уже выпущено и многие разработчики операционных систем и прикладных приложений уже начали предлагать клиентам обновления OpenSSL или производных от него библиотек.

Отметим, что ввиду широкой популярности OpenSSL многие пользователи оказываются под ударом и потенциально могут стать объектами перехвата данных, если, конечно, оператор конкретных серверов, с которыми работает пользователь, не обновит OpenSSL.

ИТ-специалисты из Google и секьюрити-компании Codenomicon говорят, что даже после установки обновленной версии OpenSSL некоторые могут все равно оставаться уязвимыми для атаки. Атакующие потенциально могут получить цифровые сертификаты из кеш-памяти серверов, которая может не обновиться после установки патчей. Кроме того, впервые данная уязвимость появилась около двух лет назад и за это время (теоретически) ей могли воспользоваться многие хакеры. Для полной нейтрализации бага нужно не только обновить само программное обеспечение, но и по возможности отозвать ранее отданные цифровые сертификаты, заменив их на новые.

Подробный технический анализ бага доступен по адресу https://blog.torproject.org/blog/openssl-bug-cve-2014-0160 и http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

Баг, официально декларированный как CVE-2014-0160, позволяет атакующим восстанавливать до 64 Кб памяти из серверного или клиентского компьютера, где был установлен уязвимый OpenSSL. На практике это позволяет доставать приватные ключи шифрования из памяти и проводить атаку. Потенциально, он позволяет атаковать все TLS-защищенные соединения и получать из памяти большие объемы данных.

Источник: CyberSecurity
Комментарии (0) | Распечатать | | Добавить в закладки:  

Другие новости по теме:


 



Телепрограммы для газет и сайтов.
25-ть лет стабильной работы: телепрограммы, анонсы, сканворды, кроссворды, головоломки, гороскопы, подборки новостей и другие дополнительные материалы. Качественная работа с 1997 года. Разумная цена.

Форум

Фоторепортажи

Авторская музыка

Погода

Афиша

Кастинги и контакты ТВ шоу

On-line TV

Партнеры

Друзья

Реклама

Статистика
Главная страница  |  Регистрация  |  Добавить новость Copyright © 2002-2012 Все о ТВ и телекоммуникациях. Все права защищены.