Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-bet

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.


Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему

Продолжение на habrahabr

В общем всем рекомендую срочно обновиться
Alex Vakhitov
08 апреля 2014, 10:01
modx.pro
1 377
+3

Комментарии: 5

Владимир
08 апреля 2014, 23:08
0
CentOS 6.4 64х, вроде, не попадает под «раздачу»?
    Alex Vakhitov
    09 апреля 2014, 03:59
    0
    Нужно смотреть версию самого OpenSSL, с уязвимостью версии 1.0.1 и 1.0.2-beta, исправленно в версии 1.0.1g.

    Если сервер работает через https то можно проверить через этот сервис filippo.io/Heartbleed
    Александр Наумов
    09 апреля 2014, 12:48
    0
    Скажите, а если я не использую https мне нужно волноваться?
    Хостинг настраивал по инструкции Василия "Правильный хостинг для MODX Revolution 2".
    Командой
    aptitude show openssl
    проверил версию, пишет:
    Version: 1.0.1-4ubuntu5.10
    .
    Не пойму, касается меня данная уязвимость или нет?
      Alex Vakhitov
      09 апреля 2014, 15:03
      0
      Вроде как нет. Но все равно лучше обновится, учитывая стоимость сертификатов велика вероятность что скоро появится https, ну и также это работает и с самодельными сертификатами, которыми обычно закрываются всякие ajenti, да phpMyAdmin
    Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
    5