Odkrita resna ranljivost v OpenSSL

R33D3M33R Član
uredil/-a 11. November, 2014 v Novice
Ta teden je na spletu zaokrožila vest, da priljubljena šifrirna knjižnica OpenSSL vsebuje resno varnostno ranljivost, ki omogoča krajo s SSL/TLS zaščitenih podatkov. SSL/TLS se uporablja za šifriranje komunikacije s strežnikom na spletnih straneh, v odjemalcih za e-pošto, v programih za klepet, itd.

Odkrit hrošč se imenuje Heartbleed (po razširitvi Heartbeat, ki vsebuje ranljivo kodo) in omogoča komurkoli, da prebere pomnilnik sistemov, ki so zaščiteni z ranljivo različico OpenSSL. Tako so razkriti (drugače skriti) ključi, ki omogočajo šifriranje prometa, imena in gesla uporabnikov ter tudi vsebina, ki jo gledate. To omogoča napadalcem, da prestrezajo vso komunikacijo, kradejo vsebine iz določenih storitev ter ponaredijo istovetnost strežnika in uporabnika. Napadalec lahko napako izkoristi, brez da bi pustil sledove, zato trenutno nihče ne ve ali je bila napaka široko izkoriščana ali ne.

Popravki so že na voljo. Skrbniki naj preverijo, če je njihova stran prizadeta in posodobijo različico OpenSSL (ranljive so različice OpenSSL 1.0.1 do vključno 1.0.1f). Obiskovalcem prizadetih strani (precej velik seznam lahko najdete na GitHubu) se priporoča zamenjava gesel, ampak le, če je bila ranljivost na ciljni strani že odpravljena. V nasprotnem primeru je zamenjava gesel nesmiselna!
Za komentiranje se prijavite ali pa se vpišite.