Objevena fatální chyba v OpenSSL

ITbiz.cz, 09. duben 2014 19:45 1 komentářů
Rubriky: Security, Internet

Zásadní chyba v OpenSSL, díky své dostupnosti zdarma asi nejpopulárnější SSL knihovně, umožňuje relativně jednoduchým způsobem krást data i privátní klíče.

Na chybu upozornili samotní autoři knihovny – Neel Mehta ze společnosti Google a nezávisle na něm také společnost Codenomicon.

Chyba s označením CVE-2014-0160 se nalézá v implementaci tzv. Heartbeat rozšíření SSL podle RFC 6520, které umožňuje posílat mezi oběma body spojení zprávy potvrzující funkčnost spojení.

Bohužel se zde již ale nenalézá kontrola hranic, takže se k výměně může připojit útočník zvenku, který je schopen získat z paměti počítače, který je druhou stranou spojení, 64 KB sousedících s datovými strukturami, které využívá na své zpracování heartbeat požadavků. Pokud bude útočník útok opakovat, může postupně vytahat z paměti větší část paměti daného procesu a tím pádem také podstatnou část citlivých dat, která se zde nalézají. Příkladem může být obsah paměti webového serveru, který zprostředkovává zabezpečené HTTPS stránky jako internetové bankovnictví či další více či méně závažné služby.

V paměti web serveru je možné typicky najít například privátní klíče SSL certifikátu webu, které umožňují mimo jiné dešifrovat jakoukoli zašifrovanou komunikaci s tímto webem. V paměti se ale nalézají také další citlivé informace, jako například přístupové údaje (loginy a hesla) uživatelů, tento problém se v případě knihovny OpenSSL týká například všech uživatelů služeb serveru Yahoo! Problém se dále týká například také uživatelů oficiálního referenčního bitcoinového klienta Bitcoin Core 0.9.0. Stejným způsobem je ale možné krást například z citlivých databází, které také hojně knihovnu OpenSSL využívají.

Zranitelnost byla potvrzena ve verzích od OpenSSL 1.0., do kódu se dostala v prosinci 2011 a opravena byla včera ve verzi OpenSSL 1.0.1g.


Komentáře

Jamicon #1
Jamicon 10. duben 2014 08:59

Táto správička prišla neskoro. Už včera na obed som mal opravenú verziu v mojom obľúbenom Gentoo a poobede vyšla oprava aj pre FreeBSD.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů