Objevena fatální chyba v OpenSSL

ITbiz.cz, 09. duben 2014 19:45 1 komentářů
Rubriky: Security, Internet

Zásadní chyba v OpenSSL, díky své dostupnosti zdarma asi nejpopulárnější SSL knihovně, umožňuje relativně jednoduchým způsobem krást data i privátní klíče.

Na chybu upozornili samotní autoři knihovny – Neel Mehta ze společnosti Google a nezávisle na něm také společnost Codenomicon.

Chyba s označením CVE-2014-0160 se nalézá v implementaci tzv. Heartbeat rozšíření SSL podle RFC 6520, které umožňuje posílat mezi oběma body spojení zprávy potvrzující funkčnost spojení.

Bohužel se zde již ale nenalézá kontrola hranic, takže se k výměně může připojit útočník zvenku, který je schopen získat z paměti počítače, který je druhou stranou spojení, 64 KB sousedících s datovými strukturami, které využívá na své zpracování heartbeat požadavků. Pokud bude útočník útok opakovat, může postupně vytahat z paměti větší část paměti daného procesu a tím pádem také podstatnou část citlivých dat, která se zde nalézají. Příkladem může být obsah paměti webového serveru, který zprostředkovává zabezpečené HTTPS stránky jako internetové bankovnictví či další více či méně závažné služby.

V paměti web serveru je možné typicky najít například privátní klíče SSL certifikátu webu, které umožňují mimo jiné dešifrovat jakoukoli zašifrovanou komunikaci s tímto webem. V paměti se ale nalézají také další citlivé informace, jako například přístupové údaje (loginy a hesla) uživatelů, tento problém se v případě knihovny OpenSSL týká například všech uživatelů služeb serveru Yahoo! Problém se dále týká například také uživatelů oficiálního referenčního bitcoinového klienta Bitcoin Core 0.9.0. Stejným způsobem je ale možné krást například z citlivých databází, které také hojně knihovnu OpenSSL využívají.

Zranitelnost byla potvrzena ve verzích od OpenSSL 1.0., do kódu se dostala v prosinci 2011 a opravena byla včera ve verzi OpenSSL 1.0.1g.


Komentáře

Jamicon #1
Jamicon 10. duben 2014 08:59

Táto správička prišla neskoro. Už včera na obed som mal opravenú verziu v mojom obľúbenom Gentoo a poobede vyšla oprava aj pre FreeBSD.

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

19. 10.

22. 10.
For Games 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Starší zprávičky

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů