pvl-online.kz » Новости » HeartBleed - "разрешение" на кражу защищенной информации
Автор публикации: admin Просмотров: 318 Добавлен: 10-04-2014, 00:01 Комментарии: 0


HeartBleed -
Что произошло?
1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали HeartBleed.
Насколько она опасна?
Эта уязвимость позволяет читать оперативую память кусками размером до 64КБ. Причем уязвимость двусторонняя, это значит, что не только вы можете читать данные с уязвимого сервера, но и сервер злоумышленника может получить часть вашей оперативной памяти, если вы используете уязвимую версию OpenSSL.
Злоумышленник может подключиться к, предположим, уязвимому интернет-банку, получить приватный SSL-ключ из оперативной памяти и выполнить MITM-атаку на вас, а ваш браузер будет вести себя так, будто бы ничего и не произошло, ведь сертификат-то верный. Или просто может получить ваш логин и пароль.
Каков масштаб трагедии?
По моим оценкам, примерно вебсайтов используют OpenSSL для HTTPS-соединений, и примерно из них были уязвимы до сегодняшнего дня.
Уязвимость была/есть, как минимум, у:8 банков2 платежных систем8 VPN-провайдеровmail.yandex.rumail.yahoo.com
Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа.Клик (интернет-банкинг).
Что мне делать, как пользователю?
Если вы используете Linux, вам необходимо обновиться до последней доступной версии OpenSSL. Большинство дистрибутивов уже содержат пропатченную версию в репозиториях.Если вы на OSX, вы, с большой верятностью, используете OpenSSL 0.9.8, которая не подвержена уязвимости, если вы не ставили версию новее вручную.
Если вы используете Windows, то, скорее всего, у вас нет OpenSSL. Если вы устанавливали его вручную (например, через cygwin), то убедитесь, что ваша версия не содержит уязвимости.
После того, как вы обновите OpenSSL перезапустите все приложения, его использующие!
Имейте ввиду — есть немаленькая вероятность, что ваши пароли уже у других лиц. Смените их, но не сейчас. Сейчас не заходите на уязвимые сайты. Проверить сайт на уязвимость можно по ссылкам ниже.
Что мне делать, как владельцу сайта/системному администратору?
Прежде всего, вы должны незамедлительно убедиться, уязвима ваша версия OpenSSL, или нет. Для HTTPS есть три сервиса: filippo.io/Heartbleed/, possible.lv/tools/hb/ и www.ssllabs.com/ssltest/. Обновите версию при необходимости. Убедитесь, что вы ставите версию с патчем, либо же 1.0.1.g.
Если у вас была уязвимая версия OpenSSL, вам следует отозвать старый SSL-сертификат — он, с большой вероятностью, скомпрометирован. Если у вас была уязвимость в сервисе — обязательно оповестите пользователей, чтобы они сменили пароли, и сбросьте сессии, если вы ими пользуетесь (PHPSESSID, JSESSID)
Источник: Habrahabr


Рейтинг:

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    
Другие статьи по теме:
Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде...


Под угрозой находятся те сайты, которые используют SSL-шифрование, это интернет-магазины, социальные сети, электронная почта, платёжные системы, сообщил "Русской службе новостей" руководитель группы исследования уязвимости "Лаборатории Касперского" Вячеслав Закоржевский...


В понедельник команда безопасности Google обнаружила страшный баг, который угрожает всем сайтам, работающим с SSL-шифрованием. Через него может происходить утечка персональных данных и паролей пользователей различных веб-сервисов, в том числе и социальных сетей. Баг получил название «Кровоточащее сердце» (Heartbleed) и титул самой опасной уязвимости, когда-либо существовавшей в интернете. Чтобы проверить уязвимость вашего сайта перед новообнаруженным багом, можно воспользоваться оперативным


Исследование компании Digital Security выявило многочисленные уязвимости в SAP NetWeaver, программном решении компании SAP, которое является технической основой для всех приложений SAP Business Suite. Ваагн Вардянян, исследователь департамента аудита безопасности SAP, автор работы, провел анализ безопасности JAVA-компонентов SAP NetWeaver...


Компания Skype официально заявила о том, что уязвимость была устранена. Команда разработчиков провела необходимые обновления функции сброса пароля, тем самым устранив уязвимость. На данный момент оказывается техническая поддержка тем пользователям, которые пострадали от действий злоумышленников, воспользовавшихся уязвимостью...





Fatal error: Call to undefined function htracer_ob_end() in /var/www/pvl/data/www/pvl-online.kz/index.php on line 289