Genießen Sie Millionen der neuesten Android -Apps, Spiele, Musik, Filme, Fernsehen, Bücher, Zeitschriften und mehr. Jederzeit, überall, überall auf Ihren Geräten.
In OpenSSL wurde gerade ein sehr schwerwiegender Fehler entdeckt-eine Open-Source-Bibliothek und eine sehr beliebte kryptografische Bibliothek, die bereits (vorerst) in Panik unter Sicherheitsexperten aufgeregt wurde. Laut dem frisch veröffentlichten Security Bulletin vom OpenSSL -Projekt kann ein fehlender Grenzen bei der Behandlung der TLS -Heartbeat -Erweiterung verwendet werden, um einem angeschlossenen Client oder Server bis zu 64.000 Speicher zu enthüllen.
In der Praxis ermöglicht dies das Diebstahl geschützter Informationen (unter normalen Bedingungen) durch die SSL/TLS -Verschlüsselung, die zur Sicherung des Internets verwendet wird.
SSL/TLS -Protokolle bieten Kommunikationssicherheit und Privatsphäre über das Internet für Anwendungen wie Web, E -Mail, Instant Messaging (IM) und einige virtuelle private Netzwerke (VPNs). Angreifer können geheime Schlüssel, Benutzernamen und Passwörter, Sofortnachrichten, E -Mails und kritische Dokumente und Kommunikation von Unternehmen stehlen - all dies, ohne eine Spur zu verlassen.
Dies macht den Fehler (der bereits einen Alias 'Heartbleed Bug' erhalten hat) absolut kritisch, sodass Gegenmaßnahmen sofort eingenommen werden sollten.
Es gibt (noch) kein Wort darüber, wie weit der Fehler bisher ausgebeutet worden sein könnte. Das schutzbedürftige OpenSSL 1.0.1 wurde jedoch im März 2012 veröffentlicht. Wer vielleicht über den fraglichen Sicherheitsfehler gelernt hat, hätte seitdem jede TSL/SSL-verknüpfte Kommunikation abhören können. Dies macht das Problem zu einem potenziell globalen: OpenSSL wird von sehr beliebten Serversoftware wie Apache und NGINX verwendet. Laut NetCrafts Web Server -Umfrage im April 2014 beträgt der kombinierte Marktanteil über 66%und werden häufig von Unternehmen aller Größen verwendet.
Bis heute sind auch eine Reihe von Nix*-ähnlichen Betriebssystemen betroffen, da sie mit gefährdetem OpenSSL verpackt sind:
Debian Wheezy (stabil), OpenSSL 1.0.1E-2+DEB7U4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4UBUNTU5.11)
CentOS 6.5, OpenSSL 1.0.1E-15)
Fedora 18, OpenSSL 1.0.1E-4
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1E) и 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1E)
OpenSuse 12.2 (OpenSSL 1.0.1c)
Pakete mit älteren OpenSSL-Versionen-Debian Squeeze (OldStable), OpenSSL 0.9.8O-4Squeeze14, SUSE Linux Enterprise Server-sind frei von diesem Fehler.
Unter den möglicherweise betroffenen Parteien sind Betriebssystemanbieter und Vertrieb, Appliance -Anbieter sowie unabhängige Softwareanbieter. Sie werden nachdrücklich aufgefordert, das Fix - OpenSSL 1.0.1G - ASAP zu übernehmen und ihre Benutzer über mögliche Kennwortlecks zu informieren. Neue geheime Schlüssel und Zertifikate müssen ebenfalls generiert werden.
Dienstanbieter und Benutzer müssen die Fix installieren, da es für Betriebssysteme, vernetzte Geräte und Software verfügbar ist, die sie verwenden.
Ein Online-Tool, mit dem jeder Server nach dem Hostnamen für den CVE-2014-0160-Fehler getestet wird, ist bereits vorhanden. Es wird empfohlen, es zu überprüfen.
Ein Angreifer, der möglicherweise ausgebeutet hat, dass Schwachstellen in den angegriffenen Systemen absolut keine Spuren hinterlassen würde. Es gibt also keine Möglichkeit zu lernen, ob jemand tatsächlich kompromittiert wurde. Jedes Unternehmen, das OpenSSL 1.0.1 bis 1.0.1F verwendet, ist in Gefahr. Daher besteht die einzige angemessene Aktion darin, dieses Sicherheits -Sinkloch so schnell wie möglich zu schließen.
Erweitern
Veröffentlichungsdatum
Größe
Kategorie
GeschäftsbüroPaketname
