toxi » 08-04-2014 22:31:23
В криптографической библиотеке обнаружили ошибку при обработке границ данных.
Как сообщают разработчики OpenSSL, им удалось обнаружить и устранить критическую уязвимость в популярной криптографической библиотеке. Согласно опубликованному экспертами бюллетеню безопасности , причиной появления бреши послужило отсутствие проверки границ данных в компоненте Heartbeat , который используется протоколом TLS/DTLS.
Стоит отметить, что уязвимость позволяет потенциальному злоумышленнику удаленно получить неограниченный доступ к оперативной памяти системы, использующей OpenSSL. Атакующий может раскрыть любую информацию, которая должна передаваться в зашифрованном виде, не оставляя при этом никаких следов компрометации.
Исследователи также отмечают, что данная брешь присутствовала в OpenSSL с марта 2012 года, когда была выпущена версия 1.0.1. В связи с этим разработчики настоятельно рекомендуют не только обновить библиотеку до актуальной версии 1.0.1g, но и обновить используемые в настоящий момент секретные ключи и сертификаты.
На сегодняшний день OpenSSL используется во множестве программных решений, в том числе в популярных web-серверах Apache и Nginx, VPN, IM-серверах, почтовых серверах и т.п.
Подробнее:
http://www.securitylab.ru/news/451281.phpВ криптографической библиотеке обнаружили ошибку при обработке границ данных.
Как сообщают разработчики OpenSSL, им удалось обнаружить и устранить критическую уязвимость в популярной криптографической библиотеке. Согласно опубликованному экспертами бюллетеню безопасности , причиной появления бреши послужило отсутствие проверки границ данных в компоненте Heartbeat , который используется протоколом TLS/DTLS.
Стоит отметить, что уязвимость позволяет потенциальному злоумышленнику удаленно получить неограниченный доступ к оперативной памяти системы, использующей OpenSSL. Атакующий может раскрыть любую информацию, которая должна передаваться в зашифрованном виде, не оставляя при этом никаких следов компрометации.
Исследователи также отмечают, что данная брешь присутствовала в OpenSSL с марта 2012 года, когда была выпущена версия 1.0.1. В связи с этим разработчики настоятельно рекомендуют не только обновить библиотеку до актуальной версии 1.0.1g, но и обновить используемые в настоящий момент секретные ключи и сертификаты.
На сегодняшний день OpenSSL используется во множестве программных решений, в том числе в популярных web-серверах Apache и Nginx, VPN, IM-серверах, почтовых серверах и т.п.
Подробнее: http://www.securitylab.ru/news/451281.php