Информационное агентство INNOV.RU | технологии Blockchain в экономике; ICO
   
нами создано более 500 интернет-проектов создать сайт
создать сайт
  1. Верите ли вы в возможность лидерства России в развитии технологии блокчейн?

Электронный научный журнал

Ирина Зет

(23.09.2017 19:07:57) Празднование Дня города в Смоленске в 24 сентября 2017 годаОпубликована полная программа мероприятий…читать Тема: Празднование Дня города в Смоленске в 24 сентября 2017 года 

Елена Ткаченко

(23.09.2017 12:29:42) 28 сентября мэр Москвы в прямом эфире ответит на вопросы москвичейМногие вопросы, по словам экспертов,…читать Тема: 28 сентября мэр Москвы в прямом эфире ответит на вопросы москвичей 

Ирина Зет

(23.09.2017 11:14:57) Как будут отмечать День города в Смоленске 26 сентябя 2017 годаПредварительная программа мероприятий…читать Тема: Как будут отмечать День города в Смоленске 26 сентябя 2017 года 
Загрузка
 

Особенно опасная уязвимость в OpenSSL


До 65% серверов в Интернете, имеют потенциальный источник уязвимости.



17.04.14 14:26
текст: Евгений К.
фото: Логотип ошибки Heartbleed
677

Особенно опасная уязвимость в OpenSSL

До 65% серверов в Интернете, имеют потенциальный источник уязвимости. Специалисты по безопасности говорят, что как можно скорее требуется проверка этой уязвимости на серверах приложений или других устройствах, использующих OpenSSL .

Причиной угрозы стала уязвимость в библиотеке OpenSSL, которая обозначается как CVE-2014-0160. Она существует с декабря 2011 года и была исправлена только в последней версии программного обеспечения.

Уязвимость была обнаружена в Neela Мета Google Security и тремя аналитиков из компании Codenomicon. Она существует с декабря 2011 года и была исправлена в версии OpenSSL 1.0.1g от 7 апреля 2014 года.

Ошибка позволяет считать часть памяти сервера и выполнить кражу личных ключей, используемых для аутентификации WEB-сервера SSL. Нападение не оставляет следов в журналах, и, следовательно, его обнаружение сделать очень трудно. Уязвимость связана с обслуживанием heartbeat TLS и была названа Heartbleed.

Угроза - это очень серьезно, потому что библиотеку OpenSSL используют 2/3 серверов в Интернете (Apache, nginx, а также коммерческие решения). Рядом библиотек OpenSSL пользуются также другие средства - VPN (например, OpenVPN), серверы электронной почты, ПО интернет-пейджеров, виртуальные атс. Некоторые web-ускорители (например, Citrix NetScaler) также используют библиотеки OpenSSL и, следовательно, могу также быть подвержены атаке.

Опасность наиболее коснется пользователей устройств, которые содержат встроенное программное обеспечение, использующее библиотеки. Это также относится и к решениям с корпоративным программным обеспечением, таким как принтеры, модули удаленного доступа, устройства UTM, маршрутизаторы и брандмауэры. В этом случае пользователи чаще всего должны ожидать исправления прошивки устройства производителем.

Специалисты по безопасности рекомендуют скорейшую обновление программного обеспечения серверов и устройств, использующих возможности OpenSSL. А если обновление не требуется, необходимо отключить heartbeats.

Если компания считает, что она могла стать целью такого нападения, должна после обновления программного обеспечения немедленно: изменить пароль администратора и пароль для всех пользователей; провести аудит программного обеспечения; удалить идентификаторы сеанса на сервере; заменить все сертификаты SSL; провести инвентаризацию информации.


к списку всех новостей


ЧИТАЙТЕ ТАКЖЕ

Учёные из России раскрыли свою версию гибели человечества на Земле Учёные из России раскрыли свою версию гибели человечества на Земле
Этапов катаклизма будет много.
По словам учёных, Люцифер на самом деле не является воплощением зла По словам учёных, Люцифер на самом деле не является воплощением зла
Христиане сильно ошибаются.

КОММЕНТАРИИ
Внимание! Прежде чем вы сможете увидеть свой комментарий, он будет проверен администратором.


Защита от автоматических сообщений

архив: 2013  2012  2011  1999-2011 новости ИТ гость портала 2013 тема недели 2013 поздравления