Ето много кратко изложение:
Потенциално критичен проблем се появи в широко използваните OpenSSL криптографска библиотека. Той получава прякора „Heartbleed“, тъй като уязвимостта съществува в „Удължаване на сърдечния ритъм“ (RFC6520) към Защита на транспортния слой (TLS) и това е проблем с изтичане на памет („кървене“). Потребителските пароли и други важни данни може да са компрометирани на всеки сайт, засегнат от уязвимостта.
Уязвимостта е особено опасна поради две причини:
Засегнатите Версии на OpenSSL са 1.0.1 до 1.0.1f, 1.0.2-бета и 1.0.2-бета1.
Кратък отговор: Всеки и всеки, който използва тези версии на OpenSSL.
И това е МНОГО компании и МНОГО хора.
Преди да влезем в нашия урок Heartbleed, ето само кратка извадка от големи компании и уебсайтове за които е известно, че са били засегнати и които са се нуждаели от корекция на техните сайтове: Gmail , Yahoo Mail , Интуитен TurboTax , USAA , Dropbox, Flickr, Instagram, Pinterest , SoundCloud , Tumblr, GitHub , GoDaddy , Boingo Wireless , и много други.
s corp c corp llc разлики
Много, много корпоративни уебсайтове на компании от всякакъв мащаб са били (или все още трябва да бъдат!) Изправени, за да се отстрани уязвимостта Heartbleed.
Уязвимостта съществува от 31 декември 2011 г., като OpenSSL се използва от около 66% от домакините в Интернет .
Като потребител има вероятност сайтовете, които често посещавате, да бъдат засегнати и че данните ви може да са компрометирани. Като разработчик или sys администратор , сайтове или сървъри, за които сте отговорни, вероятно също са били засегнати.
Основното нещо, което трябва да направите веднага е да промените паролите си за някоя от засегнати сайтове за които имате акаунт за вход.
Ако използвате OpenSSL 1.0.1, направете едно от следните неща веднага :
Ако използвате OpenSSL 1.0.2, уязвимостта ще бъде отстранена в 1.0.2-beta2 но нямате търпение за това . Междувременно направете едно от следните неща веднага :
пандемичен план за непрекъснатост на бизнеса
Повечето дистрибуции (напр. Ubuntu, Fedora, Debian, Arch Linux) вече са надстроили своите пакети. В случаи като Gentoo можете надстройка до закърпена ebuild .
След като надстроите (или прекомпилирате) и сте установили защитена версия на вашия сървър:
libssl
. (Обърнете внимание, че рестартирането на тези демони трябва да е достатъчно. Не би трябвало да се възстановява тези двоични файлове, тъй като те са динамично свързани с библиотеките openssl.)Ако вашата инфраструктура е била уязвима, има стъпки за обучение на Heartbleed, които можете и трябва да предприемете. Наличен е полезен списък с такива смекчаващи мерки тук .
Както е обяснено в ангажирането на GitHub за поправката , проверка за липсващи граници при обработката на разширението за сърдечен ритъм TLS може да бъде използвана, за да разкрие до 64k памет на свързан клиент или сървър.
Докато откритата памет може да бъде просто боклук, тя също толкова лесно може да се окаже изключително ценна за злонамерен нападател.
Ето как работи уязвимостта Heartbleed: Атакуващият осигурява полезния товар, както и дължината на полезния товар. Въпреки това не се прави проверка, за да се потвърди, че дължината на полезния товар всъщност е предоставена от нападателя. Ако дължината на полезния товар не е била предоставена, възниква четене извън границите, което от своя страна изтича паметта на процеса от купчината.
Изтичането на заглавки на предишни заявки може да бъде много сериозен проблем със сигурността. По-конкретно, данните за публикацията за вход на предишен потребител все още могат да бъдат достъпни с неговото потребителско име, парола и бисквитки, които след това могат да бъдат изложени и използвани. Освен това, въпреки че изтичането на частен ключ през Heartbleed първоначално се счита за такова малко вероятно , това е било проверено че частните SSL ключове могат да бъдат откраднати чрез използване на тази уязвимост.
какво измерва ценова еластичност на търсенето
Уязвимостта е възможна и поради глупавото използване на кеша на malloc () от OpenSSL. Като опаковате libc
функции и всъщност не освобождава памет, експлоатационните мерки за противодействие в libc
никога не им се дава шанс да влязат и да направят грешката безполезна.
Налични са допълнителни подробности за тези начини за отстраняване на Heartbleed тук и тук .
И за какво си струва, ето още нещо забавна перспектива .
Поздрави за откривателя, Нийл Мехта от Google Security, както и Адам Лангли и Бодо Молер, които своевременно предоставиха кръпката и помогнаха на администраторите на sys да определят как да поправят Heartbleed. Също така ви насърчавам да се образовате по някои от другите често срещани уязвимости в уеб сигурността за да се избегнат проблеми в бъдеще.