Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-bet

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему

Продолжение на habrahabr

В общем всем рекомендую срочно обновиться

Alex Vakhitov

08 апреля 2014, 10:01

1 260

Комментарии: 5

Владимир

08 апреля 2014, 23:08

CentOS 6.4 64х, вроде, не попадает под «раздачу»?

Alex Vakhitov

09 апреля 2014, 03:59

Нужно смотреть версию самого OpenSSL, с уязвимостью версии 1.0.1 и 1.0.2-beta, исправленно в версии 1.0.1g.

Если сервер работает через https то можно проверить через этот сервис filippo.io/Heartbleed

Александр Наумов

09 апреля 2014, 12:48

Скажите, а если я не использую https мне нужно волноваться?
Хостинг настраивал по инструкции Василия "Правильный хостинг для MODX Revolution 2".
Командой

aptitude show openssl

проверил версию, пишет:

Version: 1.0.1-4ubuntu5.10

.
Не пойму, касается меня данная уязвимость или нет?

Alex Vakhitov

09 апреля 2014, 15:03

Вроде как нет. Но все равно лучше обновится, учитывая стоимость сертификатов велика вероятность что скоро появится https, ну и также это работает и с самодельными сертификатами, которыми обычно закрываются всякие ajenti, да phpMyAdmin

Александр Наумов

09 апреля 2014, 19:58

Понял, спасибо!

Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.