Уязвимость в библиотеке OpenSSL, которой широко пользуются, используемой для обеспечения веб-передач, позволяет атакующим очищать память от серверов, захватывая уязвимую информацию.Широко распространенная уязвимость в OpenSSL, библиотека программного обеспечения раньше защищала коммуникации в сети, подорвала безопасность на сотнях тысяч веб-серверов и услуг и покинула онлайновые компании, борющиеся для закрытия дыры в системе безопасности.
Уязвимость официально назвала «проблему» Переполнения Чтения Сердцебиения TLS и неофициально назвала «Heartbleed» фирмой, которая нашла, что это – позволяет атакующим очищать память о веб-серверах, захватывая до 64 килобайтов последних переданных данных. В то время как проблема только влияет на серверы Linux, те компьютеры обычно используются для веб-серверов и услуг в Интернете.Уязвимость подвергает пароли пользователей риску, но также и могла показать закрытые ключи, используемые в шифровании, которое защищает Безопасный HTTP, или HTTPS, протокол.«Пропущенные области памяти могли бы содержать много различного содержания в пределах от оставшихся данных от предыдущей коммуникации по сообщениям журнала до материала с закрытым ключом, используемого обслуживанием/демоном», Марк Шлоессер, исследователь в области безопасности для Rapid7, фирма управления уязвимостью, заявил отправленный в eWEEK. «Поэтому существует много возможных сценариев нападения, которые могут следовать из уязвимости».
Нападение влияет на ограниченное количество выпусков OpenSSL – опубликованных проектом за прошлые два года – но уязвимый код уже довольно широко распространен. Проблема была введена в кодовую базу в декабре 2011 и выпущена общественности в марте 2012. Компания, которая обнаружила уязвимость, фирма безопасности Codenomicon, предположила, что две трети веб-серверов могли быть уязвимы для хищения информации.
9 апреля, однако, веб-фирма аналитики Неткрэфт использовал данные, собранные по использованию уязвимого программного обеспечения, чтобы предположить, что более низкая часть, 17,5 процентов, фактически находилась в опасности. Все же, среди затронутых самые большие веб-сервисы, те, которые относятся к безопасности серьезно.«Все затронутые системы должны быть сразу обновлены – это важно», сказал Шлоессер. «Кроме того, Для смягчения нападений, следующих, любой потенциально пропустил вводящий материал, любые ключи SSL от затронутых систем должны быть заменены и отменены».Для оценки опасности компания, которая показала дефект, напала на свои собственные системы.
Влияние было открытием глаза, заявил Коденомикон в сообщении в блоге.«Мы напали на нас извне, не оставляя трассировку», заявили исследователи Codenomicon. «Не используя секретной информации или учетных данных мы смогли кража от нас секретные ключи, используемые для наших сертификатов X.509, имен пользователя и паролей, мгновенных сообщений, электронных писем и критически важных для бизнеса документов и коммуникации».В то время как нападение, несомненно, повторно спровоцирует дебаты по достоинствам безопасности программного обеспечения с закрытым исходным кодом по сравнению с программным обеспечением с открытым исходным кодом, таким как OpenSSL, любая методология разработки, возможно, имела подобный дефект, Дэвида Ширера, исполнительного директора (ISC) 2, заявила отправленный в eWEEK.
«Параметры по достоинствам программного обеспечения с открытым исходным кодом по сравнению с собственным программным обеспечением были вокруг в течение длительного времени», сказал Ширер. «Недавняя уязвимость OpenSSL может выровнять по ширине некоторый пересмотр прежнего мнения жизненного цикла развития с открытым исходным кодом, но широко распространенной проблемой небезопасного программного обеспечения не является открытый исходный код по сравнению с собственным исходным параметром».Уязвимости Переполнения Чтения Сердцебиения TLS присвоили CVE-2014-0160, согласно OpenSSL Project.