OpenSSL подвергает опасности больше половины Интернета

By | Апрель 8, 2014

В программном коде самой популярной криптографической системы была обнаружена критическая уязвимость

Новая уязвимость получила название “HeartBleed bug” и свою фирменную иконку. Такое внимание не случайно – ведь она попала в самое сердце открытого программного обеспечения, на базе которого работает более 60% сертификатов во всем интернете. Многие исследователи считают, что это самая серьезная уязвимость за всю историю протокола HTTPS, ведь она позволяет злоумышленникам получить доступ к любому обмену зашифрованными данными между клиентскими системами и серверами.

Сегодня для OpenSSL уже выпущен патч, однако специалисты из Google утверждают, что он не может разрешить ситуацию в корне. Дело в том, что уязвимость присутствует в коде уже два года, но только сейчас исследователям удалось ее обнаружить. Проблема состоит в том, что HeartBleed Bug позволяет получить закрытые ключи цифровых сертификатов, а также узнать пароли и другие учетные данные для доступа к данным и управления сайтами. И даже если уязвимость была устранена, вероятность того, что ключи уже были украдены, остается высокой. Да и в памяти клиентских компьютеров, которые используют уязвимую версию OpenSSL, также может храниться конфиденциальная информация.

Ситуация осложняется и тем, что OpenSSL представляет собой самую популярную на сегодня криптографическую библиотеку для реализации TLS. ЕЕ используют Apache и nginx, на базе которых работают 66% всех сайтов (по данным NetCraft). При этом OpenSSL уже встроена в такие версии дистрибутивов Linux, как Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD и OpenSUSE, NetBSD.

Чтобы исправить ситуацию специалисты рекомендуют как можно быстрее обновить свою версию OpenSSL (уязвимость была обнаружена в версиях от OpenSSL 1.0.1 до 1.0.1f), а также подумать о генерации новых сертификатов и, возможно, переходе на другую систему шифрования, чтобы обновить все ключи и защитить также клиентские системы, подключающиеся к серверам.

Источник: arstechnica.com

One thought on “OpenSSL подвергает опасности больше половины Интернета

Comments are closed.