Odkryto lukę w OpenSSL

openssl-logo

Otwarte oprogramowanie jak i inne rodzaje oprogramowania ma swoje wady i zalety, zaletą może być szybka reakcja społeczności na wszelkiego rodzaju błędy w kodzie.

CVE-2014-0160 czy też nazwa nieoficjalna – Heartbleed Bug nazwę wymyślili eksperci z firmy Codenomicon określając tak poważny błąd.

Bezpieczeństwo naszych danych to temat bardzo ważny, a dla wielu użytkowników wręcz priorytetowy. Choć społeczeństwo przywiązuje coraz mniejszą wagę do swojej prywatności, np. publikując większość danych na portalach społecznościowych, to jednak chyba nikt nie chce, aby jego loginy i hasła wpadły w niepowołane ręce. Taką ochronę miała zapewniać bezpieczna biblioteka kryptograficzna OpenSSL.

Luka znaleziona została przez firmy Google i Codenomicon umożliwiała ona kradzież chronionych informacji, które powinny być chronione przez szyfrowanie TLS/DTLS. Jest to o tyle istotne, że protokół SSL i jego rozwinięcie służą zapewnieniu bezpieczeństwa i prywatności całej masie aplikacji i usług internetowych, takich jak np. e-mail, komunikatory, wirtualne sieci prywatne (VPN) czy niektóre serwery WWW.

Heartbleed Bug który znalazł się w implementacji rozszerzenia RFC6520 hearbeat (stąd jego nazwa) pozwalał na odczytanie z pamięci informacji chronionych przez OpenSSL. Przez ten błąd można było bez problemu dostać się do nazw użytkowników i ich haseł, podglądać rozmowy czy wreszcie podszywać się pod inne osoby, by zdobyć dostęp do konkretnych usług. Najbardziej problematyczne jest to, że sam atak nie pozostawia żadnych śladów, więc nie da się go namierzyć i do tej pory skutecznie zablokować.

Problem z OpenSSL dotyczył przede wszystkim popularnych dystrybucji systemów Linux i BSD.

Wydana już została na szczęście wersja 1.0.1g, usuwająca odkrytą podatność. Wprowadziły ją do swoich repozytoriów wszystkie wiodące dystrybucje Linuksa. Jeśli jej instalacja jest niemożliwa, to użytkownicy powinni zrekompilować OpenSSL z flagą -DOPENSSL_NO_HEARTBEATS.

Źródło: http://techcrunch.com/2014/04/07/massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/


Dodane w: Aktualności, Bezpieczeństwo Tagi: , , , ,
Hosted by: Administracja serwerami. Engine: Wordpress.