Критическая уязвимость в OpenSSL угрожает утечкой ключей шифрования с 2/3 серверов в интернете

OpenNet.ru сообщает, что в OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей:

В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленникам серверными системами.

US-CERT of the Department of Homeland Security предупреждает, что уязвимость позволяет атакующей стороне удаленно извлекать участки памяти удаленной системы по 64Kb за раз.

По версии Ars, до 2/3 веб-серверов в интернете, использующих HTTPS, подвержены риску утечки конфиденциальных данных (паролей и ключей).

Gandi, один из больших европейских хостинг-провайдеров, сообщает клиентам, что его PaaS система была уязвима к атаке, дыру они уже закрыли, но чуть позже дадут клиентам рекомендации относительно замены ключей. Владельцы VPS должны сами позаботиться об апдейтах.

СloudFlare сообщает, что они были проинформированы о проблеме заранее, и закрыли дыру на прошлой неделе.

LastPass сообщает, что пароли пользователей не были в опасности, т.к. внутри HTTPS данные пользователей передаются еще раз зашифрованными приватным ключем пользователя, доступа к которому сам LastPass (и соотв. сервера с их памятью) не имеют.

Хакеры из компании Fox-IT продемонстрировали эксплуатацию уязвимости на серверах Yahoo, откуда смогли извлечь пароли пользователей. За 5 минут работы скрипта, исследователи смогли, по их словам, извлечь 200 паролей: "Ok, ran my heartbleed script for 5 minutes, now have a list of 200 usernames and passwords for yahoo mail...TRIVIAL!".

Согласно «тесту из интрнетов», Роем сейчас вне опасности:

Источник: Roem.ru

Перейти на сайт

Похожие новости

• Вредоносная атака на Laravel-Lang
• Двигатель, колёса и панель приборов: Из чего на самом деле состоит ваш сайт
• Meta 1 мая показала как они хранят ключи от ваших бэкапов WhatsApp. Разбираю архитектуру и сравниваю
• CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
• Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
• QNAME minimisation на практике: RFC 7816, реализация, грабли
• Двигатель внутреннего сгорания и PHP: Почему старые технологии не умирают
• Вы платите OpenAI $20 в месяц, а он зарабатывает на вас ещё $100 млн за полтора месяца. И это только начало
• Объявлены победители Workspace Digital Awards-2026
• Как бизнесу оценить готовность к аттестации по новому Приказу ФСТЭК № 117