Luka bezpieczeństwa w oprogramowaniu OpenSSL

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/690,Luka-bezpieczenstwa-w-oprogramowaniu-OpenSSL.html
Wygenerowano: Poniedziałek, 6 marca 2017, 21:47
Luka bezpieczeństwa w oprogramowaniu OpenSSL
W oprogramowaniu OpenSSL wykryto krytyczną lukę bezpieczeństwa w implementacji funkcjonalności "heartbeat" protokołu
TLS/DTLS. Podatne wersje oprogramowania: 1.0.1, 1.0.2-beta, 1.0.1f i 1.0.2beta1.
Wykryty błąd umożliwia atakującemu odczytanie z pamięci danych dotyczących np: kluczy prywatnych lub danych
przesyłanych przez użytkowników zaszyfrowanym kanałem komunikacji. Atakując zdalnie usługę, która korzysta z podatnej
wersji oprogramowania OpenSSL, nieuprawniona osoba może być w stanie uzyskać wrażliwe dane, które następnie mogą
posłużyć np. do procesu dekryptażu zaszyfrowanych informacji, podszycia się pod innego użytkownika czy ataków typu
man-in-the-middle przed którymi domyślną ochronę zapewnia OpenSSL.
Celem poprawienia błędu Zespół CERT.GOV.PL zaleca natychmiastową aktualizację oprogramowania OpenSSL do wersji
1.0.1g lub, jeżeli nie jest to możliwe, rekompilację aktualnie używanej wersji oprogramowania z flagą
-DOPENSSL_NO_HEARTBEATS.
Występowanie podatności można zbadać na stronie:
http://filippo.io/Heartbleed/
Pod adresem: https://www.openssl.org/news/secadv_20140407.txt
oprogramowania.
dostępny
jest
oficjalny
komunikat
twórców
heartbeat, SSL/TLS, krytyczna luka, OpenSSL
Ocena: 3/5 (4)