Praktyczne informacje i specjalne oferty prosto na Twoją skrzynkę email.
Od teraz o wszystkim co godne uwagi dowiesz się błyskawicznie.
Ty też możesz chronić stronę i swoich Klientów. Sprawdź szczegóły.
Luka ta umożliwia kradzież informacji chronionych w normalnych warunkach przez szyfrowania SSL/TLS używane do zabezpiczenia Internetu. Podatne na ataki są wersje OpenSLL od 1.0.1 do 1.0.1.f oraz OpenSLL 1.0.2-beta. Starsze wersje nie są podatne, jakkolwiek wcześniejsze błędy w TLS (np. atak BEAST) wymusiły aktualizację do nowszych, jeszcze bardziej dziurawych wersji.
Przeprowadzając atak na OpenSSL, który jest podatny możliwe jest zdobycie kluczy prywatnych do certyfikatu SSL, wszystkich haseł administratorów i użytkowników czy tokenów sesyjnych, co pozwala na podszycie się pod serwer lub deszyfrację ruchu skierowanego do oficjalnego serwera. Hakerzy mogą również wykorzystać ten błąd w celu skopiowania fragmentów pamięci z naszego komputera, co daje im odstęp do edytowanych przez nas plików, obrazów, a także haseł.
Biblioteka OpenSSL jest używana przez ok. 2/3 serwerów www Internecie, korzystają z niej również klienty poczty elektronicznej i inne oprogramowanie.
Nie wiadomo czy luka była wykorzystywana przez hakerów, ale nie należy wykluczać, że była znana w pewnych kręgach. Oznacza to, że przez ostatnie 2 lata twoje klucze prywatne do certyfikatu SLL mogły zostać skradzione, co umożliwiłoby deszyfrowanie ruchu do twojego serwera. Z tego powodu należy jak najszybciej podjąć kroki zapewniające bezpieczeństwo danym.
Pierwszy - to weryfikacja czy dany serwer jest dziurawy. Umożliwia to dostępny w Internecie test.
Kolejnym krokiem jest aktualizacja pakietu OpenSSL do wersji 1.0.1g lub, jeśli to nie jest możliwe, rekompliacja OpenSLL z flagą -DOPENSSL_NO_HEARTBEATS
W związku z tym, że ewntualny atak nie pozostawiłby żadnego śladu na naszych urządzeniach i serwerach, po aktualizacji OpenSSL zaleca się:
Poniżej wideo wyjaśniające zasadę działania Heartbleed:
Źródło: http://niebezpiecznik.pl/
Udostępnij ten artykuł innym: