Hlavní navigace

Chyba OpenSSL umožňuje číst chráněná data, ohrozila až dvě třetiny služeb

David Slížek

Chyba „Heartbleed Bug“, která umožňuje číst šifrovanou komunikaci serverů, prý byla v kódu v opensourcové knihovny OpenSSL přítomna dva roky.

Je to jeden z nejzávažnějších odhalených problémů v zabezpečení internetových služeb. Chyba umožňuje útočníkům bez omezení číst údaje zašifrované přes SSL/TSL – včetně například privátních klíčů a dalších dat.

Bug se v kódu knihovny OpenSSL nachází už dva roky – dostal se do ní v prosinci 2011 a rozšířil se s verzí 1.01, která byla vydána 14. března 2012. Na problém teď upozornil tým vývojářů z firmy Codenomicon a Neel Mehta z Google Security.

O chybě s referenčním názvem CVE-2014–0160 se píše jako o tzv. Heartbleed Bug. Problém se vyskytuje jen v některých verzích OpenSSL a dobrá zpráva je, že světlo světa už spatřila opravená verze knihovny OpenSSL 1.0.1g. Opravné patche také postupně uvolňují výrobci jednotlivých linuxových distribucí.

Chybou mohly být podle některých odhadů ohroženy až dvě třetiny internetových služeb. Opensourcovou knihovnu OpenSSL totiž využívají nejpoužívanější servery Apache nebo nginx, které mají asi dvoutřetinové zastoupení na trhu.

OpenSSL se používá také k zabezpečení e-mailových služeb (SMTP, POP3, IMAP), virtuálních privátních sítí (VPN) nebo například k zašifrování přenosů dat při přihlašování ke službám, při bankovních operacích nebo platbách kreditními kartami (HTTPS).

Zdroj: Heartbleed.com

Našli jste v článku chybu?

9. 4. 2014 15:31

adx (neregistrovaný)

Principem chyby je nasledujici:

Do protokolu SSL pribyla moznost posilat tzv. heart beat packety. Obdoba pingu. Jedna strana posle druhe strane nejaka data a ocekava, ze ji ta druha posle ty sama data zpatky. To ma kde jaky protokol. Slouzi to k udrzeni spojeni ci overeni dostupnosti druhe strany, mereni rychlosti odpovedi atp.

V OpenSSL je mozne upravenymi vstupnimi parametry v prichozim beat packetu donutit server, aby do odpovedi neposlal co co dostal v pozadavku, ale nejaky jiny kus pameti…

9. 4. 2014 16:15

tewy (neregistrovaný)

obvious troll is obvious...

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček