anonymous@RULINUX.NET~# Last login: 2024-12-23 07:34:43
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение.

Уязвимость находится в расширении Heartbeat (RFC6520) протокола TLS. Из-за отсутствия проверки выхода за допустимые границы в одной из функций, злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, использующих OpenSSL. В том числе, доступ к секретным ключам, именам/паролям пользователей и всему зашифрованному трафику. При этом, на компьютере не оставалось никаких следов проникновения.

Любой, кому было известно об уязвимости, мог прослушивать зашифрованный трафик в Интернете с марта 2012 года (когда вышла OpenSSL 1.0.1). Уязвимая версия OpenSSL используется практически во всем Интернете: веб-серверами Nginx и Apache, почтовыми и IM-серверами, VPN-серверами и клиентами, и массой других программ.

Уязвимы все ветки OpenSSL 1.0.1 и 1.0.2-beta. Всем пострадавшим нужно как можно скорее обновиться до версии 1.0.1g, а также создать новые ключи и сертификаты. В случае невозможности немедленного обновления необходимо пересобрать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

>>> Подробнее

anonymous(*) (2014-04-09 10:36:31)


Подтверждено: vilfred(*) (2014-04-09 13:23:38)

[Ответить на это сообщение]

avatar
Скрыть

Re:В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик

> а также создать новые ключи и сертификаты.
rulinux.net это тоже касается.

> Любой, кому было известно об уязвимости, мог прослушивать зашифрованный трафик
А над моей паранойей некоторые анонимусы смеялись.

anonymous(*)(2014-04-09 10:45:59)

avatar
Скрыть

Re:В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик

Вот этот тестовый сайт пишет что нет http://filippo.io/Heartbleed/#rulinux.net

All good, rulinux.net seems not affected!

anonymous(*)(2014-04-09 13:35:28)

Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0
Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!