Информационное агентство INNOV.RU | Четверг, 23 февраля 2017 г. 19:26
   
нами создано более 360 интернет-проектов создать сайт
создать сайт
  1. Какой фильм получит Оскар-2017 в номинации "Лучший фильм"?

Электронный научный журнал

fisher44

(23.02.2017 18:50:43) Площадь под аренду развлекательного комплекса с большим потоком посетителей в Москве Аренда павильона…читать Тема: Выставочный павильон №55 «Электрификация» 

Энергия Продаж-НН

(23.02.2017 18:09:48) Системно обеспечим Вас заказами/подрядами на строительство/отделку . Пишите в личку. Готов подъехать…читать Тема: Заказы и подряды на строительство/отделку - для Вашего бизнеса 

Елена Ткаченко

(23.02.2017 17:14:50) Археологи нашли в могиле XIII века мобильный телефон Пока ещё неизвестно, для чего людям в те времена…читать Тема: Археологи нашли в могиле XIII века мобильный телефон 
Загрузка
 

Особенно опасная уязвимость в OpenSSL


До 65% серверов в Интернете, имеют потенциальный источник уязвимости.



17.04.14 14:26
текст: Евгений К.
фото: Логотип ошибки Heartbleed
535

Особенно опасная уязвимость в OpenSSL

До 65% серверов в Интернете, имеют потенциальный источник уязвимости. Специалисты по безопасности говорят, что как можно скорее требуется проверка этой уязвимости на серверах приложений или других устройствах, использующих OpenSSL .

Причиной угрозы стала уязвимость в библиотеке OpenSSL, которая обозначается как CVE-2014-0160. Она существует с декабря 2011 года и была исправлена только в последней версии программного обеспечения.

Уязвимость была обнаружена в Neela Мета Google Security и тремя аналитиков из компании Codenomicon. Она существует с декабря 2011 года и была исправлена в версии OpenSSL 1.0.1g от 7 апреля 2014 года.

Ошибка позволяет считать часть памяти сервера и выполнить кражу личных ключей, используемых для аутентификации WEB-сервера SSL. Нападение не оставляет следов в журналах, и, следовательно, его обнаружение сделать очень трудно. Уязвимость связана с обслуживанием heartbeat TLS и была названа Heartbleed.

Угроза - это очень серьезно, потому что библиотеку OpenSSL используют 2/3 серверов в Интернете (Apache, nginx, а также коммерческие решения). Рядом библиотек OpenSSL пользуются также другие средства - VPN (например, OpenVPN), серверы электронной почты, ПО интернет-пейджеров, виртуальные атс. Некоторые web-ускорители (например, Citrix NetScaler) также используют библиотеки OpenSSL и, следовательно, могу также быть подвержены атаке.

Опасность наиболее коснется пользователей устройств, которые содержат встроенное программное обеспечение, использующее библиотеки. Это также относится и к решениям с корпоративным программным обеспечением, таким как принтеры, модули удаленного доступа, устройства UTM, маршрутизаторы и брандмауэры. В этом случае пользователи чаще всего должны ожидать исправления прошивки устройства производителем.

Специалисты по безопасности рекомендуют скорейшую обновление программного обеспечения серверов и устройств, использующих возможности OpenSSL. А если обновление не требуется, необходимо отключить heartbeats.

Если компания считает, что она могла стать целью такого нападения, должна после обновления программного обеспечения немедленно: изменить пароль администратора и пароль для всех пользователей; провести аудит программного обеспечения; удалить идентификаторы сеанса на сервере; заменить все сертификаты SSL; провести инвентаризацию информации.


к списку всех новостей


ЧИТАЙТЕ ТАКЖЕ
Археологи нашли в могиле XIII века мобильный телефон Археологи нашли в могиле XIII века мобильный телефон
Пока ещё неизвестно, для чего людям в те времена понадобился этот странный предмет.
Учёные: вулкан в Антарктиде может оказаться порталом в другой мир Учёные: вулкан в Антарктиде может оказаться порталом в другой мир
Вулкан Эребус интересен для учёных.
На далёкой экзопланете учёные обнаружили признаки жизни На далёкой экзопланете учёные обнаружили признаки жизни
Она находится в звёздной системе, расположенной между двумя угасающими звёздами.

КОММЕНТАРИИ
Внимание! Прежде чем вы сможете увидеть свой комментарий, он будет проверен администратором.


Защита от автоматических сообщений

архив: 2013  2012  2011  1999-2011 новости ИТ гость портала 2013 тема недели 2013 поздравления