Miliony stron w niebezpieczeństwie! Błąd HeartBleed w OpenSSL!

Dwa dni temu okazało się, że ponad pół miliona zaufanych witryn w sieci jest zagrożonych niedawno odkrytym błędem w protokole SSL/TLS. Nosi on nazwę HeartBleed (krwawiące serce).

Według badań, problem dotyczy ponad 17% serwerów używających protokołów SSL/TLS, podpisanych przez zaufane urzędy certyfikacyjne. Wykorzystanie luki pozwala na odczytanie kluczy szyfrujących oraz kradzież takich informacji jak zaszyfrowana treść wiadomości, konta i hasła użytkowników oraz wszelkie dane zabezpieczone za pomocą protokołu SSL/TLS.

Błąd pozwala nawet na podszycie się pod serwer oraz pod samego użytkownika, a także na manipulowanie zawartością transmisji. Błąd został szerzej opisany jako CVE-2014-0160. Według raportu, problem dotyczy zarządzania rozszerzeniem Heartbeat (d1_both.c, t1_lib.c), polega na nadpisaniu bufora i możliwości odczytania 64k pamięci oraz kluczy prywatnych.

Zagrożonymi wersjami jest OpenSSL 1.0.1 - 1.0.1f, 1.0.2-beta. Należy więc zaktualizować OpenSSL do wersji 1.0.1g lub zrekompilować ręcznie ze źródeł z wyłączeniem rozszerzenia hearbeat (-DOPENSSL_NO_HEARTBEATS).

Zdjęcie: www.businessinsider.com

Odpowiedzi

No Avatar
Lok (niezweryfikowany) on 10.04.2014, 23:41

Jak zaktualizować tego OpenSSL na VPS? Korzystam z Ubuntu

No Avatar
R00t (niezweryfikowany) on 10.04.2014, 23:54

Krok1
Sprawdzasz jaką masz wersję:
openssl version -a

Lub sprawdź po domenie:
http://filippo.io/Heartbleed/

Krok2
Możesz zaktualizować sam moduł:
sudo apt-get update
sudo apt-get upgrade openssl
/etc/init.d/apache2 restart

Lub cały system (zalecane):
sudo apt-get update
sudo apt-get dist-upgrade

Krok3
I na koniec wymiań certyfikat SSL, pozmieniaj hasła i usuń aktywne tokeny sesyjne.

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
Realizacja: SIPLEX Studio