Критическая уязвимость в пакете OpenSSL поставила под угрозу большинство серверов в мире
В понедельник разработчики популярного криптографического пакета OpenSSL, предназначенного для защиты и сертификации данных, сообщили об устранении серьезной ошибки, возникшей в последних релизах пакета.
Изъян выявлен в технологии SSL/TLS, о работе которой извещает изображение висячего замка в строке браузера. Точнее, проблема затрагивает только вариант OpenSSL, но он очень популярен.
Обнаруженная уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из–за этой небольшой ошибки одного программиста кто–угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL.
Злоумышленник также получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. Первая версия пакета OpenSSL, содержащая в себе эту критическую ошибку, была выпущена в марте 2012 года. Таким образом, возможно, некие злоумышленники могли иметь доступ к зашифрованному трафику в Интернете в течение двух лет, не оставляя при этом никаких следов несанкционированного проникновения, отмечается в статье, опубликованной в газете The Washington Post.
Ошибку нашли специалисты по информационной безопасности из финской компании Codenomicon, а также один из сотрудников подразделения Google Security. Именно он сообщил разработчикам OpenSSL о необходимости срочно исправить код. Из–за созвучия названия расширения Heartbeat, обнаруженную ошибку окрестили HeartBleed (кровоточащее сердце) и даже открыли одноименный сайт, содержащий подробное описание уязвимости. По оценке издания ArsTechnica, критическая уязвимость в OpenSSL затронула в общей сложности более двух третей сайтов в мире.
Уязвимая технология используется для безопасной передачи электронных писем, транзакций в интернет–магазинах, размещения постов в соцсетях и т.п.
Специалисты рекомендуют пользователям изменить все свои пароли.