С конкурсного сервера CloudFlare был успешно украден SSL-ключ

Все блоги / Про интернет 12 апреля 2014 661

11 апреля исследователи компании CloudFlare опубликовали в своём блоге статью «Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?», в которой они задались вопросом, возможно ли извлечь приватные ключи, используя нашумевшую уязвимость Heartbleed. Попытка извлечь из оперативной памяти сервера приватный ключ не увенчалась успехом. В итоге исследователи пришли к выводу, что кража SSL-сертификатов с помощью Heartbleed маловероятна:

Мы считаем, что кража приватных ключей на большинстве серверов NGINX по крайней мере крайне затруднительна и, вероятно, невозможна. Мы уверены, что даже при использовании Apache, который, как мы считаем, может быть чуть более уязвимым, и который мы в CloudFlare не используем, вероятность раскрытия SSL-ключей с помощью уязвимости Heartbleed крайне мала. Это одна из немногих хороших новостей за эту неделю.
Ряд интернет-СМИ уже процитировали это исследование (пример) и на его основе уверенно заявили, что кража приватных ключей с помощью Heartbleed невозможна. Как оказалось, исследователи CloudFlare оказались неправы.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страниц

Специалисты по безопасности из Google обнаружили неприятный баг, чем-то похожий на приснопамятную уязвимость Heartbleed в OpenSSL. Она тоже выдаёт любому желающему криптографические ключи пользователей, а также куки, пароли, содержимое POST-запросов с личными данными, кредитные карты, ключи API и

подробнее »

24 февраля 2017

OpenVPN успешно скомпрометирован через Heartbleed

Страсти по недавно обнаруженной Heatbleed уязвимости в OpenSSL не утихают. Вчера на портале news.ycombinator.com появилось сообщение о том, что исследователям удалось совершить несколько успешных атак на сервер OpenVPN и скомпрометировать приватный ключ, который используется сервером для

подробнее »

17 апреля 2014

[Перевод] Я отказался от PGP

Об авторе: Филиппо Валсорда занимается криптографией и TLS, называет себя «послом urandon», входит в криптогруппу компании Cloudflare, поднял известный сервис для тестирования на уязвимость Heartbleed. Вы могли встречать его на конференциях по криптографии и компьютерной безопасности или под ником

подробнее »

14 декабря 2016

Критическая уязвимость в OpenSSL угрожает утечкой ключей шифрования с 2/3 серверов в интернете

OpenNet.ru сообщает, что в OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей: В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений,

подробнее »

8 апреля 2014

Справочник по уязвимости OpenSSL Heartbleed

Что может узнать атакующий Приватный ключ TLS сервера, приватный ключ TLS клиента (если клиент уязвим), cookies, логины, пароли и любые другие данные, которыми обменивается сервер и его клиенты. При этом не нужно прослушивать канал связи, достаточно послать специально сформированный пакет, и это

подробнее »

9 апреля 2014

Последствия OpenSSL HeartBleed

HeartBleed может стать, если уже не стала, самой большой информационной уязвимостью вообще. По какой-то причине, активность дискуссии в оригинальном топике не очень высока, что вызывает у меня крайне высокую степень удивления. Что произошло? 1 января 2012 года, Robin Seggelmann отправил, а steve

подробнее »

8 апреля 2014