rulinux.net - Новости - Security - В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик http://rulinux.net/ rulinux.net - Новости - Security - В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик http://rulinux.net/ http://rulinux.net/rss_icon.png Re:В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик https://rulinux.net/message.php?newsid=41159&page=1#195418 https://rulinux.net/message.php?newsid=41159&page=1#195418 Wed, 09 Apr 2014 09:35:28 +0400 Вот этот тестовый сайт пишет что нет http://filippo.io/Heartbleed/#rulinux.net

All good, rulinux.net seems not affected!

]]> Re:В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик https://rulinux.net/message.php?newsid=41159&page=1#195415 https://rulinux.net/message.php?newsid=41159&page=1#195415 Wed, 09 Apr 2014 06:45:59 +0400 > а также создать новые ключи и сертификаты.
rulinux.net это тоже касается.

> Любой, кому было известно об уязвимости, мог прослушивать зашифрованный трафик
А над моей паранойей некоторые анонимусы смеялись.

]]> В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик https://rulinux.net/message.php?newsid=41159&page=1#195414 https://rulinux.net/message.php?newsid=41159&page=1#195414 Wed, 09 Apr 2014 06:36:31 +0400 В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение.

Уязвимость находится в расширении Heartbeat (RFC6520) протокола TLS. Из-за отсутствия проверки выхода за допустимые границы в одной из функций, злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, использующих OpenSSL. В том числе, доступ к секретным ключам, именам/паролям пользователей и всему зашифрованному трафику. При этом, на компьютере не оставалось никаких следов проникновения.

Любой, кому было известно об уязвимости, мог прослушивать зашифрованный трафик в Интернете с марта 2012 года (когда вышла OpenSSL 1.0.1). Уязвимая версия OpenSSL используется практически во всем Интернете: веб-серверами Nginx и Apache, почтовыми и IM-серверами, VPN-серверами и клиентами, и массой других программ.

Уязвимы все ветки OpenSSL 1.0.1 и 1.0.2-beta. Всем пострадавшим нужно как можно скорее обновиться до версии 1.0.1g, а также создать новые ключи и сертификаты. В случае невозможности немедленного обновления необходимо пересобрать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

]]>