Критическая уязвимость в OpenSSL

  1. TopicStarter Overlay
    Yuriy
    Offline

    Yuriy Администрация

    Сообщения:
    120
    Симпатии:
    27
    Пол:
    Мужской
    Сотрудниками безопасности The OpenSSL Project был выпущен бюллетень безопасности, из которого следует, что в OpenSSL обнаружена критическая уязвимость CVE-2014-0160.
    В расширении Heartbeat (RFC6520) отсутствуем необходимая проверка границ для протокола TLS/DTLS.
    Из-за данной ошибки можно получить прямой доступ к оперативной памяти компьютеров, на которых установлены OpenSSL версий 1.0.1 и 1.0.2-beta.
    Причем уязвимость существует с марта 2012 года и соответственно кто знал про уязвимость, мог прослушивать трафик зашифрованный SSL.
    Для устранения уязвимости нужно обновить OpenSSL до последний версии, на данный момент практически во всех дистрибутивах появились профиксиные версии OpenSSL. К примеру для CentOS 6* - 1.0.1e-16.el6_5.7.
    Старые версии до 1.0.1, к примеру 0.9.8 и 1.0.0 данной уязвимости не имеют.
    Вы можете проверить Ваш сервер на уязвимость - здесь
    brooklyn нравится это.
  2. brooklyn
    Offline

    brooklyn Новичок

    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Мужской
    У меня показывает что сервер уязвим, обновление openssl не помогает, что делать? Может можно как-то откатиться на старую версию?
  3. TopicStarter Overlay
    Yuriy
    Offline

    Yuriy Администрация

    Сообщения:
    120
    Симпатии:
    27
    Пол:
    Мужской
    Вы обновили OpenSSL, а тест все-равно показывает, что сервер уязвим?
  4. brooklyn
    Offline

    brooklyn Новичок

    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Мужской
    При yum update openssl показывает, что нет обновлений для openssl.
  5. user125
    Offline

    user125 Новичок

    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Мужской
    Проверил свой сервер
    All good, xxx.xxx.xxx.xxx:443 seems fixed or unaffected!
    :)
  6. genry
    Offline

    genry Новичок

    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Что интересно openssl.org сами некоторое время не устраняли уязвимость на своем серваке.
    Любят играть с огнем :confused:

    opesslbag.png
  7. TopicStarter Overlay
    Yuriy
    Offline

    Yuriy Администрация

    Сообщения:
    120
    Симпатии:
    27
    Пол:
    Мужской
    Попробуйте обновить через репозиторий REMI.
    Установка репозитория REMI:
    После успешной установки репозитория обновите OpenSSL командой:
    После этого проверьте версию OpenSSL:
    brooklyn нравится это.
  8. brooklyn
    Offline

    brooklyn Новичок

    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Мужской
    Таким путем openssl обновился, спасибо. Также через remi обновил php до 5.4.27, хороший репозиторий.
  9. VaskaDaGama
    Offline

    VaskaDaGama Новичок

    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо за информацию!
  10. Psy
    Offline

    Psy Новичок

    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    да уж, полный провал(
  11. TopicStarter Overlay
    Yuriy
    Offline

    Yuriy Администрация

    Сообщения:
    120
    Симпатии:
    27
    Пол:
    Мужской
    Совсем недавно в OpenSSL были сообщения о критической уязвимости. Тем не менее в настоящие время найдено еще не много не мало – шесть уязвимостей, не считая ранее обнаруженную «Heartbleed». Также плюс ко всему недостаток, предоставляющий злоумышленнику прослушивать зашифрованные соединения – MITM (от англ. man-in-the-middle, «человек в середине»). И еще один недостаток, дающий возможность злоумышленнику запускать вредоносное ПО на системе, находящийся в особой группе риска.

    1. Уязвимость в DTLS (от англ. Datagram Transport Layer Security), CVE-2014-0195, содержащаяся в версиях 0.9.8, 1.0.0 и 1.0.1, дает возможность внедрения вредоносного кода в уязвимые приложения и на серверах.
    2. MITM уязвимость SSL / TLS (CVE-2014-0224). Потенциально опасно всех клиентов, а также для серверов с установленным OpenSSL 1.0.1 и 1.0.2-beta1. Уровень опасности особенно высок, потому что атака является пассивной и клиент не имеет возможности ее обнаружить.


    В консультативном центре OpenSSL говорят: "Злоумышленник, может использовать подготовленное установление связи, а также использовать для своих нужд ключевые материалы клиентов и на серверах SSL / TLS в OpenSSL. Злоумышленник будет иметь возможность расшифровывать и модифицировать трафик от уязвимых клиентов и серверов. Клиенты имеют уязвимость во всех версиях OpenSSL, а серверы только в версиях 1.0.1 и 1.0.2-beta1".

    Если Вы используете OpenSSL версии ниже 1.0.1, то в целях предосторожности рекомендуется обновить до последний версии.

    Остальные четыре уязвимости позволяют вызывать отказ служб в системе.

Поделиться этой страницей