В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160)
Иллюстрация с сайта Blog.Bit9.Com
В последнем релизе популярной свободной реализации протоколов SSL/TLS — OpenSSL — обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации.
Уязвимость CVE-2014-0160 (более популярное название — Heartbleed), о которой стало официально известно 7 апреля, затрагивает последние релизы OpenSSL: стабильную 1.0.1 и бету 1.0.2-beta, которые, в частности, используются в актуальных версиях дистрибутивов GNU/Linux и других UNIX-подобных систем (например, Ubuntu 12.04 и 13.10, Fedora 18, CentOS 6.5, FreeBSD 8.4). Проблема в обработке памяти в расширении TLS heartbeat приводит к возможности получить данные, хранимые в OpenSSL, что несет серьезную угрозу конфиденциальности информации, передаваемой по зашифрованному каналу.
Проблему обнаружил Нил Мехта (Neel Mehta) из Google. Исправление уже доступно пользователям OpenSSL 1.0.1 в релизе 1.0.1g, а для бета-версии 1.0.2-beta будет представлено в 1.0.2-beta2. Всем пользователям OpenSSL 1.0.1 рекомендуется срочно обновиться до актуальной версии. Поставщики крупных Linux-дистрибутивов и других систем, использующих OpenSSL, уже выпустили соответствующие обновления.
Постоянная ссылка к новости: http://www.nixp.ru/news/12427.html. Дмитрий Шурупов по материалам openssl.org, Ubuntu.com.
- LibreSSL — форк OpenSSL от проекта OpenBSD 5 3 22 апреля 2014 г.
- Linux Foundation создала Core Infrastructure Initiative для поддержки важных Open Source-проектов 1 28 апреля 2014 г.
- Компания Google анонсировала BoringSSL — собственный форк OpenSSL 2 25 июня 2014 г.
- Представлена новая технологическая дорожная карта для проекта OpenSSL 2 3 4 июля 2014 г.
- Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1 16 октября 2014 г.
- В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3 5 марта 2016 г.
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Уязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерах
В Samba 4.4.2, 4.3.8 и 4.2.11 исправили критическую Windows-уязвимость Badlock 1
В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3
В библиотеке glibc обнаружена критическая уязвимость CVE-2015-7547 3 3
Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1