Objevena fatální chyba v OpenSSL

ITbiz.cz, 09. duben 2014 19:45 1 komentářů
Rubriky: Security, Internet

Zásadní chyba v OpenSSL, díky své dostupnosti zdarma asi nejpopulárnější SSL knihovně, umožňuje relativně jednoduchým způsobem krást data i privátní klíče.

Na chybu upozornili samotní autoři knihovny – Neel Mehta ze společnosti Google a nezávisle na něm také společnost Codenomicon.

Chyba s označením CVE-2014-0160 se nalézá v implementaci tzv. Heartbeat rozšíření SSL podle RFC 6520, které umožňuje posílat mezi oběma body spojení zprávy potvrzující funkčnost spojení.

Bohužel se zde již ale nenalézá kontrola hranic, takže se k výměně může připojit útočník zvenku, který je schopen získat z paměti počítače, který je druhou stranou spojení, 64 KB sousedících s datovými strukturami, které využívá na své zpracování heartbeat požadavků. Pokud bude útočník útok opakovat, může postupně vytahat z paměti větší část paměti daného procesu a tím pádem také podstatnou část citlivých dat, která se zde nalézají. Příkladem může být obsah paměti webového serveru, který zprostředkovává zabezpečené HTTPS stránky jako internetové bankovnictví či další více či méně závažné služby.

V paměti web serveru je možné typicky najít například privátní klíče SSL certifikátu webu, které umožňují mimo jiné dešifrovat jakoukoli zašifrovanou komunikaci s tímto webem. V paměti se ale nalézají také další citlivé informace, jako například přístupové údaje (loginy a hesla) uživatelů, tento problém se v případě knihovny OpenSSL týká například všech uživatelů služeb serveru Yahoo! Problém se dále týká například také uživatelů oficiálního referenčního bitcoinového klienta Bitcoin Core 0.9.0. Stejným způsobem je ale možné krást například z citlivých databází, které také hojně knihovnu OpenSSL využívají.

Zranitelnost byla potvrzena ve verzích od OpenSSL 1.0., do kódu se dostala v prosinci 2011 a opravena byla včera ve verzi OpenSSL 1.0.1g.


Komentáře

Jamicon #1
Jamicon 10. duben 2014 08:59

Táto správička prišla neskoro. Už včera na obed som mal opravenú verziu v mojom obľúbenom Gentoo a poobede vyšla oprava aj pre FreeBSD.

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Starší zprávičky

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 1 komentářů