Objevena fatální chyba v OpenSSL

ITbiz.cz, 09. duben 2014 19:45 1 komentářů
Rubriky: Security, Internet

Zásadní chyba v OpenSSL, díky své dostupnosti zdarma asi nejpopulárnější SSL knihovně, umožňuje relativně jednoduchým způsobem krást data i privátní klíče.

Na chybu upozornili samotní autoři knihovny – Neel Mehta ze společnosti Google a nezávisle na něm také společnost Codenomicon.

Chyba s označením CVE-2014-0160 se nalézá v implementaci tzv. Heartbeat rozšíření SSL podle RFC 6520, které umožňuje posílat mezi oběma body spojení zprávy potvrzující funkčnost spojení.

Bohužel se zde již ale nenalézá kontrola hranic, takže se k výměně může připojit útočník zvenku, který je schopen získat z paměti počítače, který je druhou stranou spojení, 64 KB sousedících s datovými strukturami, které využívá na své zpracování heartbeat požadavků. Pokud bude útočník útok opakovat, může postupně vytahat z paměti větší část paměti daného procesu a tím pádem také podstatnou část citlivých dat, která se zde nalézají. Příkladem může být obsah paměti webového serveru, který zprostředkovává zabezpečené HTTPS stránky jako internetové bankovnictví či další více či méně závažné služby.

V paměti web serveru je možné typicky najít například privátní klíče SSL certifikátu webu, které umožňují mimo jiné dešifrovat jakoukoli zašifrovanou komunikaci s tímto webem. V paměti se ale nalézají také další citlivé informace, jako například přístupové údaje (loginy a hesla) uživatelů, tento problém se v případě knihovny OpenSSL týká například všech uživatelů služeb serveru Yahoo! Problém se dále týká například také uživatelů oficiálního referenčního bitcoinového klienta Bitcoin Core 0.9.0. Stejným způsobem je ale možné krást například z citlivých databází, které také hojně knihovnu OpenSSL využívají.

Zranitelnost byla potvrzena ve verzích od OpenSSL 1.0., do kódu se dostala v prosinci 2011 a opravena byla včera ve verzi OpenSSL 1.0.1g.


Komentáře

Jamicon #1
Jamicon 10. duben 2014 08:59

Táto správička prišla neskoro. Už včera na obed som mal opravenú verziu v mojom obľúbenom Gentoo a poobede vyšla oprava aj pre FreeBSD.

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů