Основные блоги b.Z » Все блоги » Про интернет » Критическая уязвимость в OpenSSL угрожает утечкой ключей шифрования с 2/3 серверов в интернете

Критическая уязвимость в OpenSSL угрожает утечкой ключей шифрования с 2/3 серверов в интернете

Все блоги / Про интернет 8 апреля 2014 536   
Смотреть в Telegram Поделиться в TG

OpenNet.ru сообщает, что в OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей:

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленникам серверными системами.

US-CERT of the Department of Homeland Security предупреждает, что уязвимость позволяет атакующей стороне удаленно извлекать участки памяти удаленной системы по 64Kb за раз.

По версии Ars, до 2/3 веб-серверов в интернете, использующих HTTPS, подвержены риску утечки конфиденциальных данных (паролей и ключей).

Gandi, один из больших европейских хостинг-провайдеров, сообщает клиентам, что его PaaS система была уязвима к атаке, дыру они уже закрыли, но чуть позже дадут клиентам рекомендации относительно замены ключей. Владельцы VPS должны сами позаботиться об апдейтах.

СloudFlare сообщает, что они были проинформированы о проблеме заранее, и закрыли дыру на прошлой неделе.

LastPass сообщает, что пароли пользователей не были в опасности, т.к. внутри HTTPS данные пользователей передаются еще раз зашифрованными приватным ключем пользователя, доступа к которому сам LastPass (и соотв. сервера с их памятью) не имеют.

Хакеры из компании Fox-IT продемонстрировали эксплуатацию уязвимости на серверах Yahoo, откуда смогли извлечь пароли пользователей. За 5 минут работы скрипта, исследователи смогли, по их словам, извлечь 200 паролей: "Ok, ran my heartbleed script for 5 minutes, now have a list of 200 usernames and passwords for yahoo mail...TRIVIAL!".

Согласно «тесту из интрнетов», Роем сейчас вне опасности:

Источник: Roem.ru

  • Оцените публикацию
  • 0
предыдущая статья
следующая статья

Похожие публикации

Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL. Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat

подробнее »
8 апреля 2014
Немножко уязвимостей в OpenSSL

Команда разработчиков OpenSSL выпустила Security Advisory, в котором рассказывается о 9 новых уязвимостях в OpenSSL, и настоятельно рекомендуют обновляться: Пользователям OpenSSL 0.9.8 до версии 0.9.8zb Пользователям OpenSSL 1.0.0 до версии 1.0.0n Пользователям OpenSSL 1.0.1 до версии 1.0.1i

подробнее »
7 августа 2014
[Перевод] Уязвимость OpenSSL CCS

Ингве Петтерсен продолжает изучать проблемы уязвимостей и тестировать веб-серверы на вопрос незакрытых брешей. На прошлой неделе появились сообщения о новой уязвимости в OpenSSL, которой были подвержены все версии библиотеки. Эта новая уязвимость, часто называемая уязвимостью CCS, относится к типу

подробнее »
18 июня 2014
Критическая уязвимость библиотеки OpenSSL позволяет проводить DoS-атаки

Изображение: thehackernews.com В конце прошлой недели (22 сентября) организация OpenSSL Foundation объявила об устранении более десятка уязвимостей своей криптографической библиотеки. Среди найденных «багов» была и ошибка, эксплуатация которой позволяет злоумышленникам осуществлять DoS-атаки.

подробнее »
30 сентября 2016
IT-компании работают над устранением самой опасной уязвимости в истории всемирной паутины

Опасная уязвимость в протоколе обмена шифрованными данными OpenSSL уже наделала много шума в сетевых СМИ. Прореху в OpenSSL некоторое время назад обнаружили специалисты компании Codenomicon. Рубрика: Уязвимости

подробнее »
14 апреля 2014
FREAK — TLS Downgrade атака на Android и iOS

В реализации TLS в OpenSSL и Apple TLS/SSL, исследователями из INRIA, IMDEA и Microsoft была обнаружена уязвимость, которой они дали название FREAK (Factoring attack on RSA-EXPORT Keys). Уязвимость заключается в недостаточной проверке при выполнении TLS Handshake на стороне клиента, что приводит к

подробнее »
4 марта 2015
@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии