В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей | Ofisp.org

В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей

09 апреля 201416:9

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленникам серверными системами.

Причиной проблемы является отсутствие проверки выхода за допустимые границы в коде реализации TLS-расширения heartbeat (RFC 6520), что позволяет инициировать отправку удалённой стороне до 64Кб данных из области за границей текущего буфера. При этом возможна отправка произвольных 64Кб данных, а не только примыкающих к границе буфера (путем повторения запросов атакующий может шаг за шагом прочитать всё содержимое памяти). По некоторым оценкам проблема охватывает до половины поддерживающих защищённое соединение серверных систем в Сети, включая собранные с OpenSSL 1.0.1 web-серверы (Apache httpd, nginx), почтовые серверы, XMPP-серверы, VPN-системы, шлюзы и скрытые сервисы анонимной сети Tor.

Связанная с атакой активность не проявляется в серверных логах, что затрудняет выявление фактов эксплуатации уязвимости. Возможность создания рабочего эксплоита для извлечения ключей безопасности без оставления следов в логе подтверждена исследователями из компаний Google и Codenomicon, выявивших уязвимость. В связи с тем, что проблема присутствует в коде OpenSSL уже более двух лет и, при этом, невозможно отследить по логу уже совершённые атаки, помимо установки обновления пользователям рекомендуется поменять SSL-сертификаты, ключи доступа и пароли. Для выявления возможного применения атаки в диком виде продвигается инициатива по развёртыванию сети подставных honeypot-серверов, фиксирующих попытки эксплуатации уязвимости.

Проблема проявляется только в актуальной стабильной ветке OpenSSL 1.0.1 и тестовых выпусках 1.0.2, прошлые стабильные ветки 0.9.x и 1.0.0x уязвимости не подвержены. Системы, использующие выпуски OpenSSL 1.0.1[abcdef], требуют срочного обновления. Уязвимость устранена в выпуске OpenSSL 1.0.1g. Обновления пакетов уже выпущены для RHEL 6, CentOS 6, Fedora 19/21, FreeBSD 8.4+, Ubuntu 12.04-13.10, Debian wheezy/jessie/sid, ALT Linux, CRUX, OpenBSD 5.3+. Проблема пока не исправлена в OpenSUSE 12.2+, NetBSD 5.0+. SUSE Linux Enterprise Server и Debian Squeeze проблеме не подвержены. В качестве запасного варианта отмечается возможность пересборки OpenSSL с опцией "-DOPENSSL_NO_HEARTBEATS", отключающей TLS-расширение heartbeat. Для проверки серверных систем на предмет наличия уязвимости подготовлены специальные online-сервисы.

Похожие материалы

23.11.2014
Сравнительно недавно канул в лету такой вид предпринимательства, как предоставление доступа в сеть Интернет на частной основе. В 2000-х годах Интернет был доступен далеко не всем, и некоторые предприимчивые жители многоквартирных домов или небольших загородных поселков, имевших доступ к Всемирной паутине, заключали договор со своим провайдером об аренде выделенной линии. Далее, обустроив некоторое подобие сервера в своем жилище, они приступали к следующему этапу, на котором протягивали всем желающим кабель и предоставляли доступ в Интернет по локальной сети.
28.02.2014
Для эффективной и комфортной работы в сети интернет, главное, что вам потребуется это правильный поиск провайдера. В этой статье будут описаны самые главные критерии, опираясь на которые можно будет сделать правильный выбор.
13.10.2013
«Ростелеком» приступил к реализации масштабного проекта модернизации сети связи в Березниках. Проект планируется завершить летом 2014 года. В итоге доступ к сети современной оптической связи «Ростелекома» получат около еще 8000 домохозяйств города. В рамках реализации проекта оптическая сеть связи «Ростелекома» появится в 104 многоквартирных домах Березников. При этом используется технология GPON (Gigabit-capable Passive Optical Networks), которая сегодня считается одной из самых «продвинутых» разработок.
08.08.2013
В браузере Chrome была обнаружена серьезная уязвимость, благодаря которой любой пользователь компьютера может просмотреть пароли владельца ПК: к электронной почте, социальным сетям и пр., непосредственно с панели настроек web-обозревателя. При этом для их просмотра вводить мастер-пароль не нужно. Для просмотра паролей необходимо нажать на кнопку «Настройки», зайти в раздел «Показать дополнительные настройки», а затем – «Управление сохраненными паролями» в разделе «Пароли и формы». В отдельном диалоговом окне откроется список сохраненных паролей.
25.02.2013
В ходе общения с лондонскими журналистами глава антивирусной компании «Лаборатория Касперского» Евгений Касперский заявил, что «золотой век» современной киберпреступности скоро закончится. По мнению эксперта в сфере информационной безопасности, большинство правительств мира проявляет все более оживленный интерес к преступлениям, совершенным в Сети. «Полиция Украины и Румынии очень активно арестовывает хакеров», – подчеркнул Касперский. В пример он также привел планируемое в 2014 году формирование специального подразделения по борьбе с киберпреступностью в сингапурском подразделении Интерпола. «Оно будет заниматься расследованием международных правонарушений, совершенных в киберпространстве, – пояснил эксперт.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв