Luka bezpieczeństwa w oprogramowaniu OpenSSL

W oprogramowaniu OpenSSL wykryto krytyczną lukę bezpieczeństwa w implementacji funkcjonalności "heartbeat" protokołu TLS/DTLS. Podatne wersje oprogramowania: 1.0.1, 1.0.2-beta, 1.0.1f i 1.0.2beta1.

Wykryty błąd umożliwia atakującemu odczytanie z pamięci danych dotyczących np: kluczy prywatnych lub danych przesyłanych przez użytkowników zaszyfrowanym kanałem komunikacji. Atakując zdalnie usługę, która korzysta z podatnej wersji oprogramowania OpenSSL, nieuprawniona osoba może być w stanie uzyskać wrażliwe dane, które następnie mogą posłużyć np. do procesu dekryptażu zaszyfrowanych informacji, podszycia się pod innego użytkownika czy ataków typu man-in-the-middle przed którymi domyślną ochronę zapewnia OpenSSL.

Celem poprawienia błędu Zespół CERT.GOV.PL zaleca natychmiastową aktualizację oprogramowania OpenSSL do wersji 1.0.1g lub, jeżeli nie jest to możliwe, rekompilację aktualnie używanej wersji oprogramowania z flagą -DOPENSSL_NO_HEARTBEATS.

Występowanie podatności można zbadać na stronie:
http://filippo.io/Heartbleed/

Pod adresem: https://www.openssl.org/news/secadv_20140407.txt dostępny jest oficjalny komunikat twórców oprogramowania.

Ocena: 3/5 (4)
A
A+
A++
Drukuj
PDF