Linux E X P R E S

Facebook

Závažná chyba v OpenSSL

Nebezpečí

V knihovně OpenSSL byla objevena závažná chyba, která umožňuje číst z paměti procesu data včetně soukromého klíče. Aktualizujte tedy na opravenou verzi co nejdřív.


Ve velmi rozšířené knihovně OpenSSL, která se používá pro SSL/TLS komunikaci (šifrování a autentizaci), byla nalezena velmi vážná chyba, která umožňuje vzdálenému útočníkovi číst data z paměti procesu. Ten se tak může dostat i k soukromému klíči. Chyba je obsažena v implementaci rozšíření Heartbeat (RFC 6520), proto dostala název Heartbleed bug (chyba „krvácení srdce“).

Chyba spočívá v chybějící kontrole mezí a útočník se tak může dostat až k 64 KB paměti protistrany. Postiženy jsou verze 1.0.1 (až po 1.0.1f) a 1.0.2 (po 1.0.2-beta1). K odstranění hrozby útoku je potřeba aktualizovat na 1.0.1g (případně 1.0.2-beta2), kde už je chyba opravena. Kdo aktualizovat nemůže, má ještě možnost zkompilovat knihovnu s vypnutým rozšířením Heartbeat (-DOPENSSL_NO_HEARTBEATS).

Žádoucí je také přegenerovat soukromé klíče a certifikáty (což znamená i nutnost nechat certifikáty podepsat certifikační autoritou, pokud se nepoužívají samopodepsané), staré certifikáty potom revokovat, aby je nemohl případný útočník zneužít k man-in-the-middle útoku.

Diskuze (7) Nahoru