В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение.

Уязвимость находится в расширении Heartbeat (RFC6520) протокола TLS. Из-за отсутствия проверки выхода за допустимые границы в одной из функций, злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, использующих OpenSSL. В том числе, доступ к секретным ключам, именам/паролям пользователей и всему зашифрованному трафику. При этом, на компьютере не оставалось никаких следов проникновения.

Любой, кому было известно об уязвимости, мог прослушивать зашифрованный трафик в Интернете с марта 2012 года (когда вышла OpenSSL 1.0.1). Уязвимая версия OpenSSL используется практически во всем Интернете: веб-серверами Nginx и Apache, почтовыми и IM-серверами, VPN-серверами и клиентами, и массой других программ.

Уязвимы все ветки OpenSSL 1.0.1 и 1.0.2-beta. Всем пострадавшим нужно как можно скорее обновиться до версии 1.0.1g, а также создать новые ключи и сертификаты. В случае невозможности немедленного обновления необходимо пересобрать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.