Уязвимость в OpenSSL

[mestniy007]

Исследователи из Google и работающей в сфере сетевой безопасности компании Codenomicon сообщают об обнаружении критической уязвимости в криптографической библиотеке OpenSSL. Согласно их оценкам, эта уязвимость открывает две трети веб-серверов Интернета для атак злоумышленников, целью которых может стать похищение пользовательских идентификационных данных, паролей, банковской информации и т.п.

Библиотека OpenSSL по умолчанию используется в распространённых веб-серверах Apache и nginx (их используют 68% серверов), множестве операционных систем (Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD и OpenSUSE), почтовых сервисов и программ мгновенного обмена сообщениями. Уязвимость появилась в финальной версии OpenSSL уже более двух лет назад, давая возможность получить доступ к ключам шифрования цифровых сертификатов, используемых в процессах аутентификации серверов и для шифрования данных, передаваемых между серверами и пользователями.

Ещё более угрожающей ситуацию делает тот факт, что атаки никак не отражаются в логах серверов, так что узнать о них довольно затруднительно. Исследователи уверены, что с учётом возраста уязвимости, простоты и незаметности её применения к ней следует отнестись крайне серьёзно. Даже после установки обновления OpenSSD на веб-серверы опасность не устраняется. Происходит так потому, что если сервер раньше уже стал мишенью злоумышленников, они могли успеть получить доступ к ключам сертификатов, паролям администрирования и куки-файлам. Чтобы полностью устранить опасность, нужно аннулировать прежние ключи, куки и прочие данные.

Уязвимость CVE-2014-0160 позволяла злоумышленникам получить доступ к 64 Кб памяти компьютера с ненадёжной версией OpenSSL. На прошлой неделе было выпущено закрывающее её обновление, сейчас ведётся анализ возможных последствий от её наличия. Открывшие брешь исследователи провели свою оценку, и говорят о высокой опасности, сумев получить с собственных серверов секретные ключи, используемые в рамках стандарта X.509, а также логины, пароли, переписку, почтовые сообщения и документы.

Вчера же появилась новая информация об опасности утечки данных, которая связана с уязвимостью CVE-2014-0160. «Баг» под названием Heartbleed позволяет получить доступ к паролям, контенту и другим данным в сервисе Yahoo Mail. Эксперт Марк Ломан на своём примере показал возможность этого, обнаружив хранящиеся в виде простого текстового файла пароли. Он послал на сервер ряд запросов в тот момент, когда эти данных хранились в оперативной памяти. Пользователям веб-сайтов, затронутых данной уязвимостью, рекомендуется сменить пароли.

Проверить сервер на наличие уязвимости CVE-2014-0160 можно по данной ссылке.

Ряд эксплойтов для уязвимости CVE-2014-0160 в OpenSSL:

1. Первый рабочий эксплойт для CVE-2014-0160 от Джареда Стэффорда
2. Модифицированная версия CVE-2014-0160 для массового сканирования и проверки сайтов.
3. TОР-1000 сайтов, проверенных на предмет наличия уязвимости CVE-2014-0160.

Источник