В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160)

В последнем релизе популярной свободной реализации протоколов SSL/TLS — OpenSSL — обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации.

Уязвимость CVE-2014-0160 (более популярное название — Heartbleed), о которой стало официально известно 7 апреля, затрагивает последние релизы OpenSSL: стабильную 1.0.1 и бету 1.0.2-beta, которые, в частности, используются в актуальных версиях дистрибутивов GNU/Linux и других UNIX-подобных систем (например, Ubuntu 12.04 и 13.10, Fedora 18, CentOS 6.5, FreeBSD 8.4). Проблема в обработке памяти в расширении TLS heartbeat приводит к возможности получить данные, хранимые в OpenSSL, что несет серьезную угрозу конфиденциальности информации, передаваемой по зашифрованному каналу.

Проблему обнаружил Нил Мехта (Neel Mehta) из Google. Исправление уже доступно пользователям OpenSSL 1.0.1 в релизе 1.0.1g, а для бета-версии 1.0.2-beta будет представлено в 1.0.2-beta2. Всем пользователям OpenSSL 1.0.1 рекомендуется срочно обновиться до актуальной версии. Поставщики крупных Linux-дистрибутивов и других систем, использующих OpenSSL, уже выпустили соответствующие обновления.

Постоянная ссылка к новости: http://www.nixp.ru/news/12427.html. Дмитрий Шурупов по материалам openssl.org, Ubuntu.com.