|
 Преди няколко часа специалистите от OpenSSL Project публикуваха отчет по безопасността, в който се съобщава за критичната уязвимост CVE-2014-0160 в популярната крипторафска библиотека OpenSSL.Уязвимостта е породена от неправилната проверка на границите в една от подпрограмите (RFC6520 за протокола TLS/DTLS). По този начин, поради малка грешка от страна на един програмист, всеки може да получи директен достъп до оперативната памет на компютъра, чиито комуникации са "защитени" чрез уязвимата версия на OpenSSL. Възможно е копиране на шифроващите ключове, имената и паролите на потребителите и по принцип до всичко, което би трябвало да е защитено чрез шифроване. При това в системата не остават никакви следи от проникването.През месец март 2012 година, след появата на OpenSSL 1.0.1 всеки е можел да прослушва "шифрования" трафик на целия Интернет. Тази версия се използва в популярните уеб-сървъри Nginx и Apache, в пощенските сървъри, в VPN и много други програми. Вредата от този бъг е наистина много голяма.Уязвимостта е разкрита от специалистите по информационна безопасност на Codenomicon и независимо от тях, от Нил Мехта (Neel Mehta) от отдела Google Security. Бъгът вече е подробно описан, разпространяват се ъпдейти и дори в негова чест е създаден сайта Heartbleed.com с изображение на сърце, от което тече кръв. След инсталиране на обновяванията е необходимо генерирането на нови пароли и ключове. |
|
