Новости МЕГАНЕТ
9 апреля 2014
"Внимание, опасность!"

В OpenSSL выявлена одна из самых серьезных уязвимостей (CVE-2014-0160) в истории проекта, затрагивающая огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищенное соединение.

Суть проблемы проявляется в возможности доступа к 64 Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Практическая опасность уязвимости связана с тем, что в подверженной утечке области памяти могут размещаться закрытые ключи или пароли доступа, которые потенциально могут быть извлечены удаленным злоумышленником. При удачном проведении атаки злоумышленник может получить содержимое ключа, используемого для организации шифрованного доступа к серверу, и организовать перехват на транзитном узле защищенного трафика. Также не исключена утечка паролей, идентификаторов сессий и других закрытых данных клиентских приложений при попытке их соединения с подконтрольными злоумышленниками серверными системами.

Причиной  проблемы является отсутствие проверки выхода за допустимые границы в коде реализации TLS-расширения heartbeat (RFC 6520), что позволяет инициировать отправку удаленной стороне до 64Кб данных из области за границей текущего буфера. При этом возможна отправка произвольных64 Кб данных, а не только  примыкающих к границе буфера (путем повторения запросов атакующий может шаг за шагом прочитать все содержимое памяти). По некоторым оценкам проблема охватывает до половины поддерживающих защищенное соединение серверных систем в Сети, включая собранные с OpenSSL 1.0.1 web-серверы (Apache httpd, nginx), почтовые серверы, ХМРР-серверы, VPN-системы, шлюзы и скрытые сервисы анонимной сети Tor.

Связанная с атакой активность не проявляется в серверных логах, что затрудняет выявление фактов эксплуатации уязвимости. Возможность создания рабочего эксплоита для извлечения ключей безопасности без оставления следов в логе подтверждена исследователями из компаний Google и Codenomicon, выявивших уязвимость. В связи с тем, что проблема присутствует в коде OpenSSL уже более двух лет и, при этом,  невозможно отследить по логу уже совершенные атаки, помимо  установки обновления пользователям рекомендуется поменять SSL-сертификаты, ключи доступа и пароли. Для выявления возможного применения атаки в диком виде продвигается инициатива по развертыванию сети подставных honeypot-серверов, фиксирующих попытки эксплуатации уязвимости.

Рейтинг@Mail.ru Rambler's Top100 Каталог сайтов OpenLinks.RU