| |
В OpenSSL выявлена одна из самых серьёзных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищённое соединение. Суть проблемы проявляется в возможности доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.
Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удалённым злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищённого трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленникам серверными системами.
Причиной проблемы является отсутствие проверки выхода за допустимые границы в коде реализации TLS-расширения heartbeat (RFC 6520), что позволяет инициировать отправку удалённой стороне до 64Кб данных из области за границей текущего буфера. При этом возможна отправка произвольных 64Кб данных, а не только примыкающих к границе буфера (путем повторения запросов атакующий может шаг за шагом прочитать всё содержимое памяти). По некоторым оценкам проблема охватывает до половины поддерживающих защищённое соединение серверных систем в Сети, включая собранные с OpenSSL 1.0.1 web-серверы (Apache httpd, nginx), почтовые серверы, XMPP-серверы, VPN-системы, шлюзы и скрытые сервисы анонимной сети Tor.
Связанная с атакой активность не проявляется в серверных логах, что затрудняет выявление фактов эксплуатации уязвимости. Возможность создания рабочего эксплоита для извлечения ключей безопасности без оставления следов в логе подтверждена исследователями из компаний Google и Codenomicon, выявивших уязвимость. В связи с тем, что проблема присутствует в коде OpenSSL уже более двух лет и, при этом, невозможно отследить по логу уже совершённые атаки, помимо установки обновления пользователям рекомендуется поменять SSL-сертификаты, ключи доступа и пароли. Для выявления возможного применения атаки в диком виде продвигается инициатива по развёртыванию сети подставных honeypot-серверов, фиксирующих попытки эксплуатации уязвимости.
Проблема проявляется только в актуальной стабильной ветке OpenSSL 1.0.1 и тестовых выпусках 1.0.2, прошлые стабильные ветки 0.9.x и 1.0.0x уязвимости не подвержены. Системы, использующие выпуски OpenSSL 1.0.1[abcdef], требуют срочного обновления. Уязвимость устранена в выпуске OpenSSL 1.0.1g. Обновления пакетов уже выпущены для RHEL 6, CentOS 6, Fedora 19/21, FreeBSD 8.4+, Ubuntu 12.04-13.10, Debian wheezy/jessie/sid, ALT Linux, CRUX, OpenBSD 5.3+. Проблема пока не исправлена в OpenSUSE 12.2+, NetBSD 5.0+. SUSE Linux Enterprise Server и Debian Squeeze проблеме не подвержены. В качестве запасного варианта отмечается возможность пересборки OpenSSL с опцией "-DOPENSSL_NO_HEARTBEATS", отключающей TLS-расширение heartbeat. Для проверки серверных систем на предмет наличия уязвимости подготовлены специальные online-сервисы.
|
|
- Главная ссылка к новости (http://seclists.org/fulldisclosure/2014/...)
- OpenNews: Критическая уязвимость в GnuTLS, существенно влияющая на безопасность дистрибутивов Linux
- OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
- OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
- OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
- OpenNews: Итоговые результаты расследования взлома сайта OpenSSL
| Тип: Интересно / Проблемы безопасности | Ключевые слова: ssl, tls, openssl, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
| +1 +/– | а утверждения Херлона, типа, истина в последней инстанции, как суждения Папы Рим... весь текст скрыт [ показать] | | | 3.116, Аноним, 18:26, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +2 +/–Однако, про дружбу де Раадта с АНБ забывать не стоит ... весь текст скрыт [ показать]
1.2, бедный буратино, 11:12, 08/04/2014 [ответить] [смотреть все] [к модератору] –9 +/–всегда говорил, что https не нужно, не нужно, не нужно ... весь текст скрыт [ показать]
3.134, Аноним, 21:31, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +2 +/–Ты хоть сам понял что ты написал ... весь текст скрыт [ показать] 3.143, Аноним, 22:07, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–А что не так с компилятором Он собран майнтайнерами системы, на пакете цифровая... весь текст скрыт [ показать] 7.179, Аноним, 11:46, 09/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Д Артаньян, залогинься ... весь текст скрыт [ показать] 3.152, Петросян, 22:48, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] –1 +/–
Родился на улице Герцена, в гастрономе № 22. Известный экономист, по призванию своему — библиотекарь. В народе — колхозник. В магазине — продавец. В экономике, так сказать, необходим. Это, так сказать, система… эээ… в составе 120 единиц. Фотографируете Мурманский полуостров и получаете te-le-fun-ken. И бухгалтер работает по другой линии — по линии библиотекаря. Потому что не воздух будет, академик будет!
2.19, Адекват, 12:02, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +1 +/–Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым текст... весь текст скрыт [ показать] [ показать ветку] 4.63, Аноним, 14:28, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +5 +/–MS-виндоботы поражают воображение ... весь текст скрыт [ показать] 3.31, t28, 12:40, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] –5 +/–Раньше на всяких Клиент-банках и без ССЛ-я всё как-то работало, прикинь ... весь текст скрыт [ показать] 4.105, ваы, 16:49, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–ага, потому что было отдельное диалап подключение для каждого банка ... весь текст скрыт [ показать] 3.33, arisu, 12:42, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +2 +/–а, то есть твой говнобанк вот так и валит нешифрованый поток в соединение, надея... весь текст скрыт [ показать] 10.92, Аноним, 16:00, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] –1 +/–Ох, еще один питекантроп Блин, народ, куда у нас модно посылать питекантропов, ... весь текст скрыт [ показать] 7.78, arisu, 15:16, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–для тебя, кретина, ещё раз повторяю соединение защищать не надо дальше повто... весь текст скрыт [ показать] 6.97, Аноним, 16:09, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +1 +/–про крутые слова смешно читать от человека, постоянно использующего спич ... весь текст скрыт [ показать] 5.37, arisu, 12:55, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] –6 +/–p s кретин, защищать надо не 171 соединение 187 , а данные иди, осмысливай ... весь текст скрыт [ показать] 11.107, masudi, 17:00, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–откуда у тебя такие выводы ... весь текст скрыт [ показать] 10.109, Anonym2, 17:18, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] –3 +/–Это не проблема HTTPS Проблема в некоторых CA Кто-нибудь например может выдава... весь текст скрыт [ показать] 10.120, Аноним, 19:02, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Кем доказано, что речь идет про го но ... весь текст скрыт [ показать] 10.130, Аноним, 21:10, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Так проблема-то не в HTTPS а инфраструктуре CA ... весь текст скрыт [ показать] 7.145, Аноним, 22:16, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Вообще-то, криптография ставит своей задачей в том числе и передачу данных по не... весь текст скрыт [ показать] 6.45, crypt, 13:57, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–сложно сказать, кто тут более кретин множество сетевых атак как раз строится на... весь текст скрыт [ показать] 8.67, Адекват, 14:34, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–САНИТАРЫ ЕЖ ВАШУ МЕДЬ Кто опять дверь не запер на ключ ... весь текст скрыт [ показать] 8.131, Аноним, 21:11, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Соединение и есть данные Просвещайся, неуч ... весь текст скрыт [ показать] 4.68, Аноним, 14:45, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Еще более плохая новость обезьяны которые пишут этот банковский крап обычно не ... весь текст скрыт [ показать] 3.57, Аноним, 14:14, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Ну передашь ты его шифрованным, только окажется что это был не тот сервер Но ни... весь текст скрыт [ показать] 2.167, Sabakwaka, 02:38, 09/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] –1 +/–
Отключи heartbeat.
И всё.
1.3, Аноним, 11:15, 08/04/2014 [ответить] [смотреть все] [к модератору] +2 +/–http www linuxtag org 2012 en program speaker-features featured article featur... весь текст скрыт [ показать]
1.5, Аноним, 11:20, 08/04/2014 [ответить] [смотреть все] [к модератору] +1 +/–А сколько еще неизвестных общественности критических уязвимостей Бояться надо н... весь текст скрыт [ показать]
|
4.161, Анонимоус, 23:57, 08/04/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
А чё бояться то? Ну есть язвы, ну может у тебя давно бэкдор, мир не без "добрых" людей, и что с того? Нужно не бояться, а думать о способах обезопасить компьютер. Или читать литературу по теме. Когда-нибудь, да научишься в безопасности разбираться.
| | |
1.6, Аноним, 11:24, 08/04/2014 [ответить] [смотреть все] [к модератору] –1 +/–Вот за что-то такое мы и любим nacl от дяденьки берштейна Хорошее средство от о... весь текст скрыт [ показать]
4.24, e.slezhuk, 12:15, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +1 +/–Синдром неуловимого Джо ... весь текст скрыт [ показать] 3.22, Аноним, 12:12, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] –1 +/–Нигде OpenSSL и SSL TLS вообще сделаны так, что секурно ими пользоваться може... весь текст скрыт [ показать] 8.183, Sem, 12:05, 09/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
>> меня не интересует «отличная библиотека в вакууме», меня интересует рабочий
>> софт. как это понятней пояснить?
> "У меня полный аэродром самолетов выработавших свой ресурс! Что же мне с
> ними делать?"
> Ну я понимаю что ситуация досадная, вроде самолеты совсем как настоящие, даже
> летают в принципе, только пользоваться очень стремно. Ну вот и тут
> как-то так же. Софт есть. Только рабочий он по какому угодно
> критерию. Кроме защиты данных через SSLное шифрование. Уповать на эту защиту
> - себе дороже. Развалится в воздухе.
Угу. Давайте запретим авиацию как класс, пока не создадут новые самолеты.
Есть вещи, которые сделать просто не реально.
6.47, arisu, 13:59, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +1 +/–лететь-то на чём, а лететь уже надо есть замена нет только вопли, что 17... весь текст скрыт [ показать] 10.76, arisu, 15:14, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–если всё ещё не дошло от воплей 171 а соль лучше 187 существующий софт с ... весь текст скрыт [ показать] |
14.166, angra, 02:32, 09/04/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Это "декоративное" секурити защищает в 99% случаев. От теоретического знания общего плана взлома, до его практической реализации очень далеко. Пароли словарным перебором ломают куда чаще. А абсолютной защиты вообще в принципе не существует. Так что с учетом цены https очень даже хорошая защита.
| | | 6.111, Anonym2, 17:55, 08/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/– A deterministic random-bit generator is seeded by the output from the condition... весь текст скрыт [ показать]
1.14, Нанобот, 11:56, 08/04/2014 [ответить] [смотреть все] [к модератору] –1 +/–
openssh тоже в группе риска?
1.16, Аноним, 12:01, 08/04/2014 [ответить] [смотреть все] [к модератору] +/–Что-то на этом сервисе все чеки проходят как ОК в отличие от http filippo io H... весь текст скрыт [ показать]
1.18, Аноним, 12:01, 08/04/2014 [ответить] [смотреть все] [к модератору] +/–Эксплойт то где А то развели шум из-за ничего Где гарантия что в этих 64 кил... весь текст скрыт [ показать]
1.27, Наивный чукотский юноша, 12:19, 08/04/2014 [ответить] [смотреть все] [к модератору] +/–
Ещё увидел в рекомендациях заново по-возможности сгенерировать сертификаты.
1.52, Аноним, 14:04, 08/04/2014 [ответить] [смотреть все] [к модератору] –1 +/–А что случится после того как злоумышленник вытянет из сервера закрытый ключ ... весь текст скрыт [ показать]
1.60, Аноним, 14:20, 08/04/2014 [ответить] [смотреть все] [к модератору] +/– ssh -V OpenSSH_5 5p1 Debian-6 squeeze4, OpenSSL 0 9 8o 01 Jun 2010 Цифродроч... весь текст скрыт [ показать]
3.162, Michael Shigorin, 00:26, 09/04/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
> Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей
> удастся утянуть.
Придётся подсказать специалисту, который внимательно прочитал CVE -- 127.14.98.241. Да, md5sum правильного ответа при вводных из #60 -- cfcd208495d565ef66e7dff9f98764da.
1.88, Аноним, 15:43, 08/04/2014 [ответить] [смотреть все] [к модератору] +/–В nginx под centos используется статическая линковка с openssl Брали из репозит... весь текст скрыт [ показать]
1.90, хрюкотающий зелюк, 15:50, 08/04/2014 [ответить] [смотреть все] [к модератору] +1 +/–
Ой не верю что программист этого дела типа случайно забыл там проверку поставить...
1.110, Аноним, 17:53, 08/04/2014 [ответить] [смотреть все] [к модератору] –1 +/–Вообще-то из FreeBSD только 10 0 уязвимо root as2 uname -r 9 2-RELEASE-p3... весь текст скрыт [ показать]
1.112, Аноним, 18:01, 08/04/2014 [ответить] [смотреть все] [к модератору] +/–Я просто оставлю это здесь http possible lv tools hb domain ssl com http p... весь текст скрыт [ показать]
1.113, Аноним, 18:14, 08/04/2014 [ответить] [смотреть все] [к модератору] +/–https github com openssl openssl commit 4817504d069b4c5082161b02a22116ad75f822... весь текст скрыт [ показать]
1.125, Нанобот, 20:13, 08/04/2014 [ответить] [смотреть все] [к модератору] –1 +/–
если я правильно понял, этот баг будет проявляться только через ssl-соединения, созданные штатными средствами openssl.
если так, то openssh не подвержен уязвимости, openvpn поверх udp - тоже
1.137, Аноним, 21:57, 08/04/2014 [ответить] [смотреть все] [к модератору] –2 +/–Вот что происходит, когда для разработки криптографических библиотек используетс... весь текст скрыт [ показать]
1.163, Аноним, 01:13, 09/04/2014 [ответить] [смотреть все] [к модератору] +/–ухнифигасебе щас еще тестят StrongSWAN и либресван, есть шансы что там - тоже... весь текст скрыт [ показать]
1.181, iZEN, 11:53, 09/04/2014 [ответить] [смотреть все] [к модератору] +/–
Во FreeBSD закрыли этот ваш баг в SSL:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14:06.openssl.asc
Расстраиваться не стоит.
Ваш комментарий
Read more |