Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT Давняя уязвимость в OpenSSL подвергает опасности две трети веб-серверов RSS

Давняя уязвимость в OpenSSL подвергает опасности две трети веб-серверов

Текущий рейтинг: 4 (проголосовало 9)
 Посетителей: 1741 | Просмотров: 1916 (сегодня 0)  Шрифт: - +

Исследователи из Google и работающей в сфере сетевой безопасности компании Codenomicon сообщают об обнаружении критической уязвимости в криптографической библиотеке OpenSSL. Согласно их оценкам, эта уязвимость открывает две трети веб-серверов Интернета для атак злоумышленников, целью которых может стать похищение пользовательских идентификационных данных, паролей, банковской информации и т.п.

Библиотека OpenSSL по умолчанию используется в распространённых веб-серверах Apache и nginx (их используют 68% серверов), множестве операционных систем (Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD и OpenSUSE), почтовых сервисов и программ мгновенного обмена сообщениями. Уязвимость появилась в финальной версии OpenSSL уже более двух лет назад, давая возможность получить доступ к ключам шифрования цифровых сертификатов, используемых в процессах аутентификации серверов и для шифрования данных, передаваемых между серверами и пользователями.

*

Ещё более угрожающей ситуацию делает тот факт, что атаки никак не отражаются в логах серверов, так что узнать о них довольно затруднительно. Исследователи уверены, что с учётом возраста уязвимости, простоты и незаметности её применения к ней следует отнестись крайне серьёзно. Даже после установки обновления OpenSSD на веб-серверы опасность не устраняется. Происходит так потому, что если сервер раньше уже стал мишенью злоумышленников, они могли успеть получить доступ к ключам сертификатов, паролям администрирования и куки-файлам. Чтобы полностью устранить опасность, нужно аннулировать прежние ключи, куки и прочие данные.

Уязвимость CVE-2014-0160 позволяла злоумышленникам получить доступ к 64 Кб памяти компьютера с ненадёжной версией OpenSSL. На прошлой неделе было выпущено закрывающее её обновление, сейчас ведётся анализ возможных последствий от её наличия. Открывшие брешь исследователи провели свою оценку, и говорят о высокой опасности, сумев получить с собственных серверов секретные ключи, используемые в рамках стандарта X.509, а также логины, пароли, переписку, почтовые сообщения и документы.

*

Вчера же появилась новая информация об опасности утечки данных, которая связана с уязвимостью CVE-2014-0160. «Баг» под названием Heartbleed позволяет получить доступ к паролям, контенту и другим данным в сервисе Yahoo Mail. Эксперт Марк Ломан на своём примере показал возможность этого, обнаружив хранящиеся в виде простого текстового файла пароли. Он послал на сервер ряд запросов в тот момент, когда эти данных хранились в оперативной памяти. Пользователям веб-сайтов, затронутых данной уязвимостью, рекомендуется сменить пароли.

Добавлено: проверить сервер на наличие уязвимости CVE-2014-0160 можно по данной ссылке.

Автор: Алексей Алтухов  •  Иcточник: arstechnica.com  •  Опубликована: 09.04.2014
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.