Наслаждайтесь миллионами последних приложений для Android, игр, музыки, фильмов, телевидения, книг, журналов и многого другого. В любое время, где угодно, на ваших устройствах.
Очень серьезный недостаток был только что обнаружен в OpenSSL-открытой и очень популярной криптографической библиотеке, которая уже подняла незначительную (на данный момент) панику среди экспертов по безопасности. Согласно недавно выпущенному бюллетеню безопасности в рамках проекта OpenSSL, проверка недостающих границ в обработке расширения HeartBeat TLS может использоваться для выявления до 64 тыс. Памятника подключенному клиенту или серверу.
На практике это позволяет краже защищенной информации (при нормальных условиях) шифрованием SSL/TLS, используемой для защиты Интернета.
Протоколы SSL/TLS обеспечивают безопасность связи и конфиденциальность через Интернет для таких приложений, как Web, Email, Instant Message (IM) и некоторые виртуальные частные сети (VPN). Злоумышленники могут украсть секретные ключи, имена пользователей и пароли, мгновенные сообщения, электронные письма и критические документы и коммуникацию бизнеса - все это, не оставляя следа.
Это делает недостаток (который уже получил псевдоним «сердечная ошибка») абсолютно критичным, поэтому контрмеры должны быть приняты быстро.
Пока нет слов о том, насколько широко могло бы использоваться недостаток. Тем не менее, уязвимый OpenSSL 1.0.1 был выпущен в марте 2012 года. Кто бы ни узнал о рассматриваемом недостатке безопасности, мог бы подслуживать любые с тех пор любые коммуникации, заполненные TSL/SSL. Это делает проблему потенциально глобальной: OpenSSL используется очень популярным серверным программным обеспечением, таким как Apache и Nginx. Их комбинированная доля рынка превышает 66%, согласно опросу веб -сервера NetCraft 2014 года, и они обычно используются предприятиями всех размеров.
На сегодняшний день затронут ряд операционных систем NIX*, поскольку они упакованы с уязвимым OpenSSL:
Debian Wheezy (стабильная), openssl 1.0.1e-2+deb7u4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4Ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, openssl 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5,4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9,1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
Opensuse 12.2 (openssl 1.0.1c)
Пакеты с более старыми версиями OpenSSL-Debian Squeeze (OldStable), OpenSSL 0.9.8o-4Squeeze14, SUSE Linux Enterprise Server-свободны от этого недостатка.
Среди возможно пострадавших сторон - поставщики операционной системы и дистрибуция, поставщики приборов, а также независимые поставщики программного обеспечения. Их настоятельно рекомендуется принять исправление - OpenSSL 1.0.1g - как можно скорее и уведомить своих пользователей о возможных утечках паролей. Новые секретные ключи и сертификаты также должны быть сгенерированы.
Поставщики услуг и пользователи должны установить исправление, поскольку оно становится доступным для операционных систем, сетевых приборов и программного обеспечения, которое они используют.
Онлайн-инструмент, который позволяет тестировать любой сервер с помощью своего имени хоста для ошибки CVE-2014-0160, уже на месте, и рекомендуется проверить его.
Опять же, злоумышленник, который мог бы использовать, что уязвимость не оставит абсолютно никаких следов в атакованных системах, поэтому нет никакого способа узнать, если кто -то фактически не будет скомпрометирован. Каждый бизнес, который использует OpenSSL с 1.0.1 до 1.0.1f, находится в опасности, поэтому единственное разумное действие сейчас - подключить эту безопасность как можно скорее.
Развернуть
Дата публикации
Размер
Категория
Бизнес -офисИмя пакета
