Информационное агентство INNOV.RU | Воскресенье, 28 мая 2017 г. 03:59
   
каждый месяц нас читают более 300 тысяч человек узнать больше
узнать больше
  1. Как вы планируете провести отпуск в этом году?

Электронный научный журнал

Larrisa

(26.05.2017 16:21:40) Ну раз в год можно и потратиться, тем более можно в рассрочку. Посмотрите http://www.banki.ru/insurance/order/auto/type/kasko/…читать Тема: Подарок для автолюбителя?? 

zoomagia.ru

(26.05.2017 13:00:39) Дорогие друзья! Хотим напомнить, что на нашем сайте существует раздел «Акции», где для Вас представлены…читать Тема: Интернет-магазин зоотоваров Зоомагия! 

Tanya172

(26.05.2017 01:25:35) не нужно мягких игрушек. можнт быть домики для кукол? читать Тема: Игрушки для детей 
Загрузка
 

Особенно опасная уязвимость в OpenSSL


До 65% серверов в Интернете, имеют потенциальный источник уязвимости.



17.04.14 14:26
текст: Евгений К.
фото: Логотип ошибки Heartbleed
605

Особенно опасная уязвимость в OpenSSL

До 65% серверов в Интернете, имеют потенциальный источник уязвимости. Специалисты по безопасности говорят, что как можно скорее требуется проверка этой уязвимости на серверах приложений или других устройствах, использующих OpenSSL .

Причиной угрозы стала уязвимость в библиотеке OpenSSL, которая обозначается как CVE-2014-0160. Она существует с декабря 2011 года и была исправлена только в последней версии программного обеспечения.

Уязвимость была обнаружена в Neela Мета Google Security и тремя аналитиков из компании Codenomicon. Она существует с декабря 2011 года и была исправлена в версии OpenSSL 1.0.1g от 7 апреля 2014 года.

Ошибка позволяет считать часть памяти сервера и выполнить кражу личных ключей, используемых для аутентификации WEB-сервера SSL. Нападение не оставляет следов в журналах, и, следовательно, его обнаружение сделать очень трудно. Уязвимость связана с обслуживанием heartbeat TLS и была названа Heartbleed.

Угроза - это очень серьезно, потому что библиотеку OpenSSL используют 2/3 серверов в Интернете (Apache, nginx, а также коммерческие решения). Рядом библиотек OpenSSL пользуются также другие средства - VPN (например, OpenVPN), серверы электронной почты, ПО интернет-пейджеров, виртуальные атс. Некоторые web-ускорители (например, Citrix NetScaler) также используют библиотеки OpenSSL и, следовательно, могу также быть подвержены атаке.

Опасность наиболее коснется пользователей устройств, которые содержат встроенное программное обеспечение, использующее библиотеки. Это также относится и к решениям с корпоративным программным обеспечением, таким как принтеры, модули удаленного доступа, устройства UTM, маршрутизаторы и брандмауэры. В этом случае пользователи чаще всего должны ожидать исправления прошивки устройства производителем.

Специалисты по безопасности рекомендуют скорейшую обновление программного обеспечения серверов и устройств, использующих возможности OpenSSL. А если обновление не требуется, необходимо отключить heartbeats.

Если компания считает, что она могла стать целью такого нападения, должна после обновления программного обеспечения немедленно: изменить пароль администратора и пароль для всех пользователей; провести аудит программного обеспечения; удалить идентификаторы сеанса на сервере; заменить все сертификаты SSL; провести инвентаризацию информации.


к списку всех новостей


ЧИТАЙТЕ ТАКЖЕ

Исследователи НАСА потеряли из виду звезду, за которой долго наблюдали Исследователи НАСА потеряли из виду звезду, за которой долго наблюдали
Небесное тело могло превратиться в черную дыру.
«Яндекс.Такси» меняет тарифы на разных смартфонах «Яндекс.Такси» меняет тарифы на разных смартфонах
Ошибка обнаружена пользователями
Почту создателя «ВКонтакте» Павла Дурова пытались взломать Почту создателя «ВКонтакте» Павла Дурова пытались взломать
Во взломе он подозревает «правительственных» хакеров.

КОММЕНТАРИИ
Внимание! Прежде чем вы сможете увидеть свой комментарий, он будет проверен администратором.


Защита от автоматических сообщений

архив: 2013  2012  2011  1999-2011 новости ИТ гость портала 2013 тема недели 2013 поздравления