Дефект SSL сердцебиения подвергает дистрибутивы Linux риску

подвергать

АНАЛИЗ НОВОСТЕЙ: Спустя часы после раскрытия недостатка, довольно много дистрибутивов Linux не имели патча. Сейчас, когда исправление отсутствует, пользователи OpenSSL должны удостовериться, что обновили собственные серверы.Уровень защищенных сокетов (SSL) в базе всех Веб-коммуникаций, и в то время как недостатки безопасности отысканы, яркие исправления требуются.

7 апреля проект OpenSSL с открытым исходным кодом выпустил консультацию довольно критической уязвимости, которая имела возможность возможно покинуть миллионы пользователей в опасности.Идентифицированные для недостатка как CVE-2014-0160 и приведённый «к сердцебиению TLS просматривают, переполнение» — находилось в OpenSSL с марта 2012, но это было легко не так давно найдено.Но недостаток был неофициально назван «Heartbleed» исследовательской компанией безопасности Codenomicon, которая есть именем, которое завоевало популярность в большинстве последующих сообщений средств массовой информации.«Недостающая граничная проверка в обработке TLS [безопасность Транспортного уровня] расширение сердцебиения может употребляться для раскрытия до 64k памяти связанному клиенту либо серверу», консультация OpenSSL даёт предупреждение.

OpenSSL есть библиотекой SSL с открытым исходным кодом, которой обширно пользуются в сочетании с веб-дистрибутивами и серверами Linux. О недостатке сперва сказал службы и Нил безопасности Гугл, и проект OpenSSL выпустил исправление с новым обновлением 1.0.1 г OpenSSL.Исследователи с компанией безопасности Коденомикон также утверждают, что нашли недостаток. В перечне FAQ веб-страницы на недостатке Сердцебиения Коденомикон растолковывает, что CVE-2014-0160 неточность находится в реализации OpenSSL TLS/DTLS либо безопасности/Дейтаграмме Транспортного уровня безопасность Транспортного уровня, расширение сердцебиения (RFC6520).

«В то время как это использовано, это ведет к утечке содержания памяти от сервера до клиента и от клиента к серверу», заявляет Коденомикон.То, что это указывает, — то, что сессии, которые были зашифрованы, могли быть дешифрованы благодаря утечке памяти. Идя шаг вперед, учитывая что большая часть веб-серверов применяет ключ единственного сервера для шифрования SSL, все связи с уязвимым сервером имели возможность возможно пребывать в опасности.Не считая обновления к новой версии OpenSSL, администраторы веб-сервера должны также разглядеть Идеальную прямую секретность (PFS) реализации.

PFS есть способом, что создает новый неповторимый сеансовый ключ для каждого зашифрованного сеанса, что ограничил бы риск ретроспективного дешифрования. (Недавние онлайн-семинары Живое событие предлагает понимание на PFS).Вторая громадная неприятность с недостатком Сердцебиения — то, как неточность была практически раскрыта. Да, OpenSSL проектируют, лишь выпустил его консультацию после того, как это имело исправление, которое есть доброй идеей; но, применение OpenSSL намного более обширно, чем легко проект OpenSSL.

Любой отдельный дистрибутив Linux имеет собственную упакованную версию OpenSSL, что должен быть обновлен, также.Я связался с Red Hat поздно днем 7 апреля, и в то время, они знали о проблеме, но еще не имели патч в наличии для пользователей. В 23:00 я взял Email из проекта Fedora Red Hat уведомление меня, что новые пакеты OpenSSL были доступны для фиксации недостатка.

Пользователи Linux Red Hat Enterprise получили доступ к патчу рано 8 апреля.Тогда как у Red Hat и других поставщиков Linux не было патчей сходу дешёвыми, когда консультация OpenSSL была выпущена, поставщик безопасности облака, CloudFlare сделал.

В сообщении в блоге CloudFlare говорит, что фиксировал недостаток CVE-2014-0160, перед тем как это стало достоянием общественности.«Как одно из самого громадного развертывания OpenSSL в сети сейчас, CloudFlare несет ответственность быть бдительным в отношении фиксации этих типов неточностей, перед тем как они возьмут огласку, и атакующие начинают применять их и подвергать отечественных клиентов риску», CloudFlare вел блог.

Неясно, как CloudFlare смог получить доступ к информации о недостатке перед большим поставщиком Linux как Red Hat. Надлежащий важный процесс раскрытия неточности должен был включать все заинтересованные стороны так, чтобы все затронутые стороны имели возможность выпустить исправление в один момент.

С недостатком CVE-2014-0160 было мелкое окно действия со времени, проект OpenSSL выпустил собственную консультацию и CloudFlare, занесенный в блог по проблеме, пока проекты Linux не имели патчи в наличии для пользователей. Это просто не верно и, быть может, поместило миллионы людей в ненужный риск.

При любых событиях это возложено на всех пользователях OpenSSL сходу удостовериться, что они не находятся в опасности сейчас и обновили собственные серверы.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.

Следуйте за ним в Твиттере @TechJournalist.Примечание редактора: Эта история была обновлена для включения неофициального заглавия «Heartbleed» «недостатка» переполнения чтения сердцебиения TLS, о котором информирует OpenSSL Project.


9 comments

  1. "Умнички"-не то слово ! Замечательный способ продемонстрировать мировой общественности "демократичность" выборов в Украине !

  2. да ну))) ну так ты вопросы тем людям и адресуй, че ты спрашиваешь этот бред у других?

  3. Тем не менее даже такой спецназ …бёт ВСУшных киборгов и нацов из батальонов со страшной силой. А если ВВП настоящих спецназовцев пришлёт?:)))

  4. сисуалий, признайсо честно — кредит за поездку в Турцию какой год гасишь? 😉

  5. здесь можно согласиться с презом. Изменили, но в конкретную сторону.

  6. только перед тем как ты мне тут будешь распинаться а хочу заметить что признал это и ваш министр финансов и димон

Добавить комментарий