Уязвимости в OpenSSL - Шо опять ?!

Тема в разделе "Хостинг и настройка серверов", создана пользователем X-Shar, 6 июн 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Не так давно в OpenSSL сообщили о критической уязвимости в безопасности. Но на сегодняшний день было найдено еще шесть уязвимостей (помимо ранее обнаруженной «Heartbleed»), в том числе один недостаток, дающий возможность злоумышленникам (так называемым MITM злоумышленникам — от англ. man-in-the-middle, дословно «человек в середине») прослушивать зашифрованные соединения. А также другой недостаток, позволяющий злоумышленникам запускать вредоносное ПО на системах, находящихся в особой группе риска.

    Давайте рассмотрим их поподробнее.

    1. Фрагмент уязвимости в DTLS (сокр. от англ. Datagram Transport Layer Security, Безопасность Дэйтаграммы Транспортного Уровня), а именно: CVE-2014-0195, затрагивающий версии 0.9.8, 1.0.0 и 1.0.1, может быть использован для того, чтобы внедрить вредоносный код в уязвимый софт в приложениях или на серверах.

    2. MITM уязвимость протокола SSL / TLS (CVE-2014-0224). Потенциально затрагивает всех клиентов, а также серверы, работающие на версиях 1.0.1 и 1.0.2-beta1. Степень опасности особенно высока, так как атака носит пассивный характер, и не может быть обнаружена клиентом, сервером или с помощью каких-либо сетевых контроллеров безопасности.

    Консультативный центр OpenSSL рассказывает:
 "Злоумышленник, используя тщательно подготовленное установление связи может форсировать использование слабого ключевого материала у клиентов и на серверах SSL / TLS в OpenSSL. Это может использоваться для осуществления MITM атаки, где злоумышленник сможет расшифровать и модифицировать трафик от уязвимого клиента и сервера. 
Клиенты OpenSSL – уязвимы во всех версиях OpenSSL в то время, как серверы являются уязвимыми только в версиях OpenSSL 1.0.1 и 1.0.2-beta1."

    Внимание: Если Вы используете OpenSSL, версия которого более ранняя, чем 1.0.1, то мы рекомендуем Вам обновить ее в качестве меры предосторожности.

    Недостаток CVE-2014-0224 MITM существует еще с самого первого релиза OpenSSL. Недостаток DTLS, позволяющий удаленно запускать код, также настораживает экспертов, ведь датируется еще апрелем 2014, а раскрыт только в начале июня 2014.

    Хорошая новость состоит в том, что клиенты, не использующие OpenSSL (например, такие как IE, Firefox, Chrome, iOS, Safari и др.), по словам экспертов, и вовсе не подвержены атаке с использованием CVE-2014-0224. В то же время некоторые из них считают, что ни один из вышеупомянутых багов нельзя с легкостью взять и использовать в своих целях. И это является полной противоположностью ранее найденной уязвимости, названной "Heartbleed".

    Остальные четыре уязвимости вызывают в системе отказ работы служб.

    
Необходимо будет обновить серверы и другие системы, подключенные к Интернету для того, чтобы защитить систему от атак, связанных с вышеуказанными уязвимостями.

    Пожалуйста, будьте внимательны с конфеденциальной информацией.
     
    • Мне нравится Мне нравится x 4
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Закрыты очередные уязвимости:http://habrahabr.ru/post/240765/

    Обновился, да они уже достали, нет это конечно хорошо что фиксят...

    Но почему столько много и сколько ещё будет этих уязвимостей !Не въехал!!!
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей