Hlavní navigace

Chyba OpenSSL umožňuje číst chráněná data, ohrozila až dvě třetiny služeb

David Slížek

Chyba „Heartbleed Bug“, která umožňuje číst šifrovanou komunikaci serverů, prý byla v kódu v opensourcové knihovny OpenSSL přítomna dva roky.

Je to jeden z nejzávažnějších odhalených problémů v zabezpečení internetových služeb. Chyba umožňuje útočníkům bez omezení číst údaje zašifrované přes SSL/TSL – včetně například privátních klíčů a dalších dat.

Bug se v kódu knihovny OpenSSL nachází už dva roky – dostal se do ní v prosinci 2011 a rozšířil se s verzí 1.01, která byla vydána 14. března 2012. Na problém teď upozornil tým vývojářů z firmy Codenomicon a Neel Mehta z Google Security.

O chybě s referenčním názvem CVE-2014–0160 se píše jako o tzv. Heartbleed Bug. Problém se vyskytuje jen v některých verzích OpenSSL a dobrá zpráva je, že světlo světa už spatřila opravená verze knihovny OpenSSL 1.0.1g. Opravné patche také postupně uvolňují výrobci jednotlivých linuxových distribucí.

Chybou mohly být podle některých odhadů ohroženy až dvě třetiny internetových služeb. Opensourcovou knihovnu OpenSSL totiž využívají nejpoužívanější servery Apache nebo nginx, které mají asi dvoutřetinové zastoupení na trhu.

Content 2017 - tip Footshop

OpenSSL se používá také k zabezpečení e-mailových služeb (SMTP, POP3, IMAP), virtuálních privátních sítí (VPN) nebo například k zašifrování přenosů dat při přihlašování ke službám, při bankovních operacích nebo platbách kreditními kartami (HTTPS).

Zdroj: Heartbleed.com

Našli jste v článku chybu?
9. 4. 2014 15:31
adx (neregistrovaný)

Principem chyby je nasledujici:

Do protokolu SSL pribyla moznost posilat tzv. heart beat packety. Obdoba pingu. Jedna strana posle druhe strane nejaka data a ocekava, ze ji ta druha posle ty sama data zpatky. To ma kde jaky protokol. Slouzi to k udrzeni spojeni ci overeni dostupnosti druhe strany, mereni rychlosti odpovedi atp.

V OpenSSL je mozne upravenymi vstupnimi parametry v prichozim beat packetu donutit server, aby do odpovedi neposlal co co dostal v pozadavku, ale nejaky jiny kus pameti…