Chyba OpenSSL umožňuje číst chráněná data, ohrozila až dvě třetiny služeb

Chyba „Heartbleed Bug“, která umožňuje číst šifrovanou komunikaci serverů, prý byla v kódu v opensourcové knihovny OpenSSL přítomna dva roky.

Je to jeden z nejzávažnějších odhalených problémů v zabezpečení internetových služeb. Chyba umožňuje útočníkům bez omezení číst údaje zašifrované přes SSL/TSL – včetně například privátních klíčů a dalších dat.

Bug se v kódu knihovny OpenSSL nachází už dva roky – dostal se do ní v prosinci 2011 a rozšířil se s verzí 1.01, která byla vydána 14. března 2012. Na problém teď upozornil tým vývojářů z firmy Codenomicon a Neel Mehta z Google Security.

O chybě s referenčním názvem CVE-2014–0160 se píše jako o tzv. Heartbleed Bug. Problém se vyskytuje jen v některých verzích OpenSSL a dobrá zpráva je, že světlo světa už spatřila opravená verze knihovny OpenSSL 1.0.1g. Opravné patche také postupně uvolňují výrobci jednotlivých linuxových distribucí.

Chybou mohly být podle některých odhadů ohroženy až dvě třetiny internetových služeb. Opensourcovou knihovnu OpenSSL totiž využívají nejpoužívanější servery Apache nebo nginx, které mají asi dvoutřetinové zastoupení na trhu.

Content

OpenSSL se používá také k zabezpečení e-mailových služeb (SMTP, POP3, IMAP), virtuálních privátních sítí (VPN) nebo například k zašifrování přenosů dat při přihlašování ke službám, při bankovních operacích nebo platbách kreditními kartami (HTTPS).

Zdroj: Heartbleed.com

39 názorů Vstoupit do diskuse
poslední názor přidán 11. 4. 2014 0:23
Zasílat nově přidané názory e-mailem

Školení PPC reklamy pro začátečníky

  •  
    Principy fungování PPC reklamy.
  • PPC nejsou jen ve vyhledávačích.
  • Zjednodušte si správu šikovnými nástroji.

Detailní informace o školení PPC reklamy »