![]() |
|
![]() |
||||||
|
Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL. Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
Некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. В то время была продемонстрирована успешная атака на TLS (BEAST), и многие перешли на защищенную версию TLS 1.2, появление которой совпало с выходом OpenSSL 1.0.1.
Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.
Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
* Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
* Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
* CentOS 6.5, OpenSSL 1.0.1e-15)
* Fedora 18, OpenSSL 1.0.1e-4
* OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
* FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
* NetBSD 5.0.2 (OpenSSL 1.0.1e)
* OpenSUSE 12.2 (OpenSSL 1.0.1c)
Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server.
Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.
yum update
apt-get update && apt-get upgrade
ls писал(а):FreeBSD 8 и 9 не уязвимы
...
Проблема только во FreeBSD 10 и FreeBSD 11, как я написал выше - проблема в версии openssl с 1.0.1a по 1.0.1f
Во FreeBSD 8/9 - идет openssl 0.9.8(q/y)
SergeyDSI писал(а):Полагаю, что в свете последних событий, логичным шагом с Вашей стороны был бы, выпуск подробного мануала, о том, как закрыть эту уязвимость, всем Вашим клиентам....
ls писал(а):Проблема только во FreeBSD 10 и FreeBSD 11, как я написал выше - проблема в версии openssl с 1.0.1a по 1.0.1f
Во FreeBSD 8/9 - идет openssl 0.9.8(q/y)
pepper писал(а):Если у вас виртуализация FreeBSD jail, то нужно обновить openssl из портов, применив патч http://security.FreeBSD.org/patches/SA- ... l-10.patch.
Если у вас не получается сделать это самостоятельно, вы можете обратиться в поддержку и за 250р вам устранят эту уязвимость.
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0