přejít na obsah přejít na navigaci

Linux E X P R E S, Závažná chyba v OpenSSL

Závažná chyba v OpenSSL

Nebezpečí

V knihovně OpenSSL byla objevena závažná chyba, která umožňuje číst z paměti procesu data včetně soukromého klíče. Aktualizujte tedy na opravenou verzi co nejdřív.


Ve velmi rozšířené knihovně OpenSSL, která se používá pro SSL/TLS komunikaci (šifrování a autentizaci), byla nalezena velmi vážná chyba, která umožňuje vzdálenému útočníkovi číst data z paměti procesu. Ten se tak může dostat i k soukromému klíči. Chyba je obsažena v implementaci rozšíření Heartbeat (RFC 6520), proto dostala název Heartbleed bug (chyba „krvácení srdce“).

Chyba spočívá v chybějící kontrole mezí a útočník se tak může dostat až k 64 KB paměti protistrany. Postiženy jsou verze 1.0.1 (až po 1.0.1f) a 1.0.2 (po 1.0.2-beta1). K odstranění hrozby útoku je potřeba aktualizovat na 1.0.1g (případně 1.0.2-beta2), kde už je chyba opravena. Kdo aktualizovat nemůže, má ještě možnost zkompilovat knihovnu s vypnutým rozšířením Heartbeat (-DOPENSSL_NO_HEARTBEATS).

Žádoucí je také přegenerovat soukromé klíče a certifikáty (což znamená i nutnost nechat certifikáty podepsat certifikační autoritou, pokud se nepoužívají samopodepsané), staré certifikáty potom revokovat, aby je nemohl případný útočník zneužít k man-in-the-middle útoku.

Nahoru

Příspěvky

Závažná chyba v OpenSSL
wanker 9. 04. 2014, 09:57:10
Odpovědět  Odkaz 
Takže vy o tom píšete dřív než si to spravíte? Už mám pár tisíc dumpů paměti vašeho serveru ^^. Děkuji :)
Závažná chyba v OpenSSL
Palm 9. 04. 2014, 21:34:12
Odpovědět  Odkaz 
Zřejmě precedentní příklad toho, že i otevřený software, do kterého vidí statisíce programátorů, může mít závažnou bezpečnostní chybu.
Lukáš Jelínek Re: Závažná chyba v OpenSSL
Lukáš Jelínek 9. 04. 2014, 22:30:44
Odpovědět  Odkaz 
Obecně takovou chybu nelze vyloučit nikdy, stejně jako to, že zůstane třeba i delší dobu nepovšimnuta. Ovšem vždy je větší šance takovou chybu odhalit, pokud jsou k dispozici zdrojové kódy. Pokud k dispozici nejsou, lze testovat pouze zvenčí. Pokud bude v proprietárním softwaru backdoor, šance k odhalení jsou o dost menší - nemusí být implementován přímočaře (k jeho aktivaci může být potřeba splnit více podmínek), takže může být prakticky neodhalitelný.
Závažná chyba v OpenSSL
Martin 10. 04. 2014, 01:06:26
Odpovědět  Odkaz 
Je to tedy opravdu tak zlé? Má každý změnit svá hesla k emailům atd.? nebo je to spíše nafouklé? Poraďte prosím.
Závažná chyba v OpenSSL
MIlan 10. 04. 2014, 07:17:12
Odpovědět  Odkaz 
Nooo, dokud to na serverech neopraví, jsou změny hesla dost kontraproduktivní....
Lukáš Jelínek Re: Závažná chyba v OpenSSL
Lukáš Jelínek 10. 04. 2014, 10:58:49
Odpovědět  Odkaz 
Pokud tím server není postižen (například proto, že používá starší verzi OpenSSL - týká se např. distra Debian 6 - nebo používá GnuTLS či něco jiného), není potřeba řešit nic. Jinak samozřejmě platí, že nejdřív se musí opravit servery (aktualizovat OpenSSL, přegenerovat klíče a certifikáty, staré certifikáty revokovat) a pak teprve řešit návazné věci, třeba změny hesel.

Mimochodem spousta uživatelů pořád přistupuje k poště nešifrovaně a často i s nešifrovaným heslem, takže jsou trvale v situaci, kdy je někdo může odposlechnout. Už se také objevily komentáře ve smyslu, že je celá "aféra" spíše přínosná, protože počet reálných zneužití bude nízký, ale přitom to donutí spoustu adminů konečně aktualizovat servery a aspoň dočasně se bezpečnosti více věnovat, takže se tím zamezí mnoha jiným útokům vedeným jinými způsoby.
Závažná chyba v OpenSSL
Petr Tv. 10. 04. 2014, 22:32:14
Odpovědět  Odkaz 
Jo jenže článek publikovaný na idnes a novinky.cz udělají dostatečnou paniku mezi neznalými lidmi.
A ti pak houfně mění hesla, mnohé si zapomenou zapamatovat ... a vlastně zbytečně.

Dokud neopraví server šifrování, změny hesel jsou zbytečná aktivita...

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz