Информационное агентство INNOV.RU | Суббота, 22 июля 2017 г. 15:50
   
каждый месяц нас читают более 300 тысяч человек узнать больше
узнать больше
  1. Хотели бы вы уехать на пмж в другую страну?

Электронный научный журнал

Engin

(21.07.2017 10:42:28) Ага, еще и если 3Д рисунок, так вообще рекламщики разойдутся, будешь не существующий ямы объезжать, на…читать Тема: Реклама на асфальте 

Engin

(21.07.2017 10:38:36) Хочу внедорожник купить, сморю по разным салонам, в одном вроде тоже самое называют внедорожник, а в…читать Тема: Чем джип отличается от кроссовера. 

Ирина Костикова

(20.07.2017 23:46:22) Еще один российский банк остался без лицензииФинансово-кредитная организация занимала 108 место в банковской…читать Тема: Еще один российский банк остался без лицензии 
Загрузка
 

Особенно опасная уязвимость в OpenSSL


До 65% серверов в Интернете, имеют потенциальный источник уязвимости.



17.04.14 14:26
текст: Евгений К.
фото: Логотип ошибки Heartbleed
652

Особенно опасная уязвимость в OpenSSL

До 65% серверов в Интернете, имеют потенциальный источник уязвимости. Специалисты по безопасности говорят, что как можно скорее требуется проверка этой уязвимости на серверах приложений или других устройствах, использующих OpenSSL .

Причиной угрозы стала уязвимость в библиотеке OpenSSL, которая обозначается как CVE-2014-0160. Она существует с декабря 2011 года и была исправлена только в последней версии программного обеспечения.

Уязвимость была обнаружена в Neela Мета Google Security и тремя аналитиков из компании Codenomicon. Она существует с декабря 2011 года и была исправлена в версии OpenSSL 1.0.1g от 7 апреля 2014 года.

Ошибка позволяет считать часть памяти сервера и выполнить кражу личных ключей, используемых для аутентификации WEB-сервера SSL. Нападение не оставляет следов в журналах, и, следовательно, его обнаружение сделать очень трудно. Уязвимость связана с обслуживанием heartbeat TLS и была названа Heartbleed.

Угроза - это очень серьезно, потому что библиотеку OpenSSL используют 2/3 серверов в Интернете (Apache, nginx, а также коммерческие решения). Рядом библиотек OpenSSL пользуются также другие средства - VPN (например, OpenVPN), серверы электронной почты, ПО интернет-пейджеров, виртуальные атс. Некоторые web-ускорители (например, Citrix NetScaler) также используют библиотеки OpenSSL и, следовательно, могу также быть подвержены атаке.

Опасность наиболее коснется пользователей устройств, которые содержат встроенное программное обеспечение, использующее библиотеки. Это также относится и к решениям с корпоративным программным обеспечением, таким как принтеры, модули удаленного доступа, устройства UTM, маршрутизаторы и брандмауэры. В этом случае пользователи чаще всего должны ожидать исправления прошивки устройства производителем.

Специалисты по безопасности рекомендуют скорейшую обновление программного обеспечения серверов и устройств, использующих возможности OpenSSL. А если обновление не требуется, необходимо отключить heartbeats.

Если компания считает, что она могла стать целью такого нападения, должна после обновления программного обеспечения немедленно: изменить пароль администратора и пароль для всех пользователей; провести аудит программного обеспечения; удалить идентификаторы сеанса на сервере; заменить все сертификаты SSL; провести инвентаризацию информации.


к списку всех новостей


ЧИТАЙТЕ ТАКЖЕ

Учёные нашли источник «сигнала инопланетян» Учёные нашли источник «сигнала инопланетян»
Он исходит из созвездия Девы.
Учёные рассказали, как изменение климата вредит здоровью человека Учёные рассказали, как изменение климата вредит здоровью человека
Были проанализированы исследования последних лет.

КОММЕНТАРИИ
Внимание! Прежде чем вы сможете увидеть свой комментарий, он будет проверен администратором.


Защита от автоматических сообщений

архив: 2013  2012  2011  1999-2011 новости ИТ гость портала 2013 тема недели 2013 поздравления