Objevena fatální chyba v OpenSSL

ITbiz.cz, 09. duben 2014 19:45 1 komentářů
Rubriky: Security, Internet

Zásadní chyba v OpenSSL, díky své dostupnosti zdarma asi nejpopulárnější SSL knihovně, umožňuje relativně jednoduchým způsobem krást data i privátní klíče.

Na chybu upozornili samotní autoři knihovny – Neel Mehta ze společnosti Google a nezávisle na něm také společnost Codenomicon.

Chyba s označením CVE-2014-0160 se nalézá v implementaci tzv. Heartbeat rozšíření SSL podle RFC 6520, které umožňuje posílat mezi oběma body spojení zprávy potvrzující funkčnost spojení.

Bohužel se zde již ale nenalézá kontrola hranic, takže se k výměně může připojit útočník zvenku, který je schopen získat z paměti počítače, který je druhou stranou spojení, 64 KB sousedících s datovými strukturami, které využívá na své zpracování heartbeat požadavků. Pokud bude útočník útok opakovat, může postupně vytahat z paměti větší část paměti daného procesu a tím pádem také podstatnou část citlivých dat, která se zde nalézají. Příkladem může být obsah paměti webového serveru, který zprostředkovává zabezpečené HTTPS stránky jako internetové bankovnictví či další více či méně závažné služby.

V paměti web serveru je možné typicky najít například privátní klíče SSL certifikátu webu, které umožňují mimo jiné dešifrovat jakoukoli zašifrovanou komunikaci s tímto webem. V paměti se ale nalézají také další citlivé informace, jako například přístupové údaje (loginy a hesla) uživatelů, tento problém se v případě knihovny OpenSSL týká například všech uživatelů služeb serveru Yahoo! Problém se dále týká například také uživatelů oficiálního referenčního bitcoinového klienta Bitcoin Core 0.9.0. Stejným způsobem je ale možné krást například z citlivých databází, které také hojně knihovnu OpenSSL využívají.

Zranitelnost byla potvrzena ve verzích od OpenSSL 1.0., do kódu se dostala v prosinci 2011 a opravena byla včera ve verzi OpenSSL 1.0.1g.


Komentáře

Jamicon #1
Jamicon 10. duben 2014 08:59

Táto správička prišla neskoro. Už včera na obed som mal opravenú verziu v mojom obľúbenom Gentoo a poobede vyšla oprava aj pre FreeBSD.

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
RSS 

Zprávičky

APEK: Dnes obrat za miliardu?

Pavel Houser , 11. prosinec 2017 13:04

Právě dnes očekává Asociace pro elektronickou komerci (APEK) vrchol objednávek vánočních dárků na in...

Více 0 komentářů

Termínový kontrakt na bitcoin při debutu stoupl až na 18 700 dolarů

ČTK , 11. prosinec 2017 10:39

Termínový kontrakt na internetovou měnu bitcoin při svém debutu ve Spojených státech zpevnil o více ...

Více 0 komentářů

Western Digital zruší arbitráž proti Toshibě

ČTK , 11. prosinec 2017 08:00

Japonská společnost Toshiba a americká firma Western Digital se v zásadě dohodly na urovnání sporu o...

Více 0 komentářů

Starší zprávičky

Spotify a Tencent se propojují

ČTK , 10. prosinec 2017 08:00

Přední světová služba pro streamování hudby Spotify a čínská konkurenční firma Tencent Music Enterta...

Více 0 komentářů

Bezpečnostní politika firem brání plně využít potenciál IoT

Pavel Houser , 09. prosinec 2017 08:00

Tři čtvrtiny účastníků průzkumu EY Global Information Security Survey 2017 pokládají za nejpravděpod...

Více 4 komentářů

Globální výdaje na bezpečnost IT porostou v příštím roce o 8 % na 96 miliard dolarů

Pavel Houser , 08. prosinec 2017 10:57

Nejrychleji porostou řešení SIEM, testování IT bezpečnosti a její outsourcing. ...

Více 1 komentářů

Soud EU: Luxusní značky mohou zakázat internetový prodej zboží

ČTK , 08. prosinec 2017 10:00

Oponenti poukazují na to, že omezení prodejů jde proti hospodářské soutěži....

Více 2 komentářů