INNOV.RU | Информационный портал 

   
каждый месяц нас читают более 300 тысяч человек .
Главная Новости Справка
КУРСЫ КРИПТОВАЛЮТ

 

Особенно опасная уязвимость в OpenSSL


До 65% серверов в Интернете, имеют потенциальный источник уязвимости.


17.04.2014 14:26
текст: Евгений К.
фото: Логотип ошибки Heartbleed
1912

Особенно опасная уязвимость в OpenSSL

До 65% серверов в Интернете, имеют потенциальный источник уязвимости. Специалисты по безопасности говорят, что как можно скорее требуется проверка этой уязвимости на серверах приложений или других устройствах, использующих OpenSSL .

Причиной угрозы стала уязвимость в библиотеке OpenSSL, которая обозначается как CVE-2014-0160. Она существует с декабря 2011 года и была исправлена только в последней версии программного обеспечения.

Уязвимость была обнаружена в Neela Мета Google Security и тремя аналитиков из компании Codenomicon. Она существует с декабря 2011 года и была исправлена в версии OpenSSL 1.0.1g от 7 апреля 2014 года.

Ошибка позволяет считать часть памяти сервера и выполнить кражу личных ключей, используемых для аутентификации WEB-сервера SSL. Нападение не оставляет следов в журналах, и, следовательно, его обнаружение сделать очень трудно. Уязвимость связана с обслуживанием heartbeat TLS и была названа Heartbleed.

Угроза - это очень серьезно, потому что библиотеку OpenSSL используют 2/3 серверов в Интернете (Apache, nginx, а также коммерческие решения). Рядом библиотек OpenSSL пользуются также другие средства - VPN (например, OpenVPN), серверы электронной почты, ПО интернет-пейджеров, виртуальные атс. Некоторые web-ускорители (например, Citrix NetScaler) также используют библиотеки OpenSSL и, следовательно, могу также быть подвержены атаке.

Опасность наиболее коснется пользователей устройств, которые содержат встроенное программное обеспечение, использующее библиотеки. Это также относится и к решениям с корпоративным программным обеспечением, таким как принтеры, модули удаленного доступа, устройства UTM, маршрутизаторы и брандмауэры. В этом случае пользователи чаще всего должны ожидать исправления прошивки устройства производителем.

Специалисты по безопасности рекомендуют скорейшую обновление программного обеспечения серверов и устройств, использующих возможности OpenSSL. А если обновление не требуется, необходимо отключить heartbeats.

Если компания считает, что она могла стать целью такого нападения, должна после обновления программного обеспечения немедленно: изменить пароль администратора и пароль для всех пользователей; провести аудит программного обеспечения; удалить идентификаторы сеанса на сервере; заменить все сертификаты SSL; провести инвентаризацию информации.


ЧИТАЙТЕ ТАКЖЕ
Как защитить бизнес от кибератак, советует Алексей Кузовкин Как защитить бизнес от кибератак, советует Алексей Кузовкин
Малые и средние компании способны оперативно перестраивать свою предпринимательскую деятельность сообразно рыночным требованиям, и в этом их несомненный плюс
Разработке сайтов на Bitrix Разработке сайтов на Bitrix
«1С-Битрикс» - это CMS, выпускаемая российской компанией Битрикс. Платформа предназначена для автоматизированный разработки и управления сайтами любого уровня: от одностраничных лендингов, до информационных порталов.

архив: 2013  2012  2011  1999-2011 новости ИТ гость портала 2013 тема недели 2013 поздравления