В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей | Ofisp.org

В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей

09 апреля 201415:9

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленникам серверными системами.

Причиной проблемы является отсутствие проверки выхода за допустимые границы в коде реализации TLS-расширения heartbeat (RFC 6520), что позволяет инициировать отправку удалённой стороне до 64Кб данных из области за границей текущего буфера. При этом возможна отправка произвольных 64Кб данных, а не только примыкающих к границе буфера (путем повторения запросов атакующий может шаг за шагом прочитать всё содержимое памяти). По некоторым оценкам проблема охватывает до половины поддерживающих защищённое соединение серверных систем в Сети, включая собранные с OpenSSL 1.0.1 web-серверы (Apache httpd, nginx), почтовые серверы, XMPP-серверы, VPN-системы, шлюзы и скрытые сервисы анонимной сети Tor.

Связанная с атакой активность не проявляется в серверных логах, что затрудняет выявление фактов эксплуатации уязвимости. Возможность создания рабочего эксплоита для извлечения ключей безопасности без оставления следов в логе подтверждена исследователями из компаний Google и Codenomicon, выявивших уязвимость. В связи с тем, что проблема присутствует в коде OpenSSL уже более двух лет и, при этом, невозможно отследить по логу уже совершённые атаки, помимо установки обновления пользователям рекомендуется поменять SSL-сертификаты, ключи доступа и пароли. Для выявления возможного применения атаки в диком виде продвигается инициатива по развёртыванию сети подставных honeypot-серверов, фиксирующих попытки эксплуатации уязвимости.

Проблема проявляется только в актуальной стабильной ветке OpenSSL 1.0.1 и тестовых выпусках 1.0.2, прошлые стабильные ветки 0.9.x и 1.0.0x уязвимости не подвержены. Системы, использующие выпуски OpenSSL 1.0.1[abcdef], требуют срочного обновления. Уязвимость устранена в выпуске OpenSSL 1.0.1g. Обновления пакетов уже выпущены для RHEL 6, CentOS 6, Fedora 19/21, FreeBSD 8.4+, Ubuntu 12.04-13.10, Debian wheezy/jessie/sid, ALT Linux, CRUX, OpenBSD 5.3+. Проблема пока не исправлена в OpenSUSE 12.2+, NetBSD 5.0+. SUSE Linux Enterprise Server и Debian Squeeze проблеме не подвержены. В качестве запасного варианта отмечается возможность пересборки OpenSSL с опцией "-DOPENSSL_NO_HEARTBEATS", отключающей TLS-расширение heartbeat. Для проверки серверных систем на предмет наличия уязвимости подготовлены специальные online-сервисы.

Похожие материалы

20.12.2013
Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку. Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt.
04.11.2012
Румынский хакер, находящийся в заключении за кражу денег с банковских счетов и незаконную модификацию банкоматов, объявил об изобретении новой схемы защиты. Предполагается, что схема, созданная находящимся в неволе хакером, поможет сделать банкоматы практически неуязвимыми к так называемым «скиммерам» (устройствами, которые преступники устанавливают на гнездо приема карты в банкомате, чтобы считать с нее секретные данные банковского счета). Валентин Боанта (Valentin Boanta), гражданин Румынии, с 2009 г. находящийся в заключении по делу о мошенничестве с банковскими картами и банкоматами, обещает представить публике новаторское приспособление, которое можно установить на любой действующий банкомат. В этом случае необычно то, что сам Боанта как раз и занимался перехватом банковских карт с помощью скиммера, пока не был арестован по делу одной из местных преступных группировок.
08.08.2013
При участии компании Autodesk, разработчика программного обеспечения для 3D-моделирования, стартовал проект по созданию трехмерных визуализации мумий из постоянной коллекции музея Средиземноморья и ближневосточных древностей (Medelhavsmuseet). Также в проекте принимает участие группа исследователей-визуализаторов из Шведского интерактивного института ICT (Interactive Institute Swedish ICT), эксперты музея Средиземноморья и ближневосточных древностей (Medelhavsmuseet), специалисты центра медицинской визуализации (Center For Medical Imaging and Visualization/CMIV) и компании Faro
12.04.2014
Интернет провайдеры всегда предъявляли высокие требования к созданию сайтов. Разработка новых сайтов под силу только профессионалам, работающим на рынке этих услуг долгое время. В любом случае, это - трудоемкий процесс, включающий в себя несколько этапов.Первый этап, пожалуй, самый важный, но бесплатный - мониторинг провайдера с целью изучения его потребностей. Дизайн сайта должен отвечать пожеланиям клиента и соответствовать его фирменному стилю.
12.05.2014
Речь пойдет о том, что нужно делать для того, чтобы стать Интернет-провайдером. На рынке телекоммуникаций немного предпринимателей, т.к. большинство думает, что система Интернет-провайдера очень сложная с технической стороны. На самом деле не все так сложно. Если посмотреть с точки зрения бизнеса, то нужно будет пройти всего 3 пункта для достижения цели.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв