В последнем релизе популярной свободной реализации протоколов SSL/TLS — OpenSSL — обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации.
Уязвимость CVE-2014-0160, о которой стало официально известно 7 апреля, затрагивает последние версии OpenSSL: стабильную 1.0.1 и бета-версию 1.0.2-beta, которые, в частности, используются в актуальных версиях дистрибутивов GNU/Linux (например, OpenSSL 1.0.1 устанавливается в Ubuntu 12.04 и 13.10). Проблема в обработке памяти в расширении TLS heartbeat приводит к возможности получить данные, хранимые в OpenSSL, что несет серьезную угрозу конфиденциальности информации, передаваемой по зашифрованному каналу.
Проблему обнаружил Нил Мехта (Neel Mehta) из Google. Исправление уже доступно пользователям OpenSSL 1.0.1 в релизе 1.0.1g, а для бета-версии 1.0.2-beta будет представлено в 1.0.2-beta2. Всем пользователям OpenSSL 1.0.1 рекомендуется срочно обновиться до актуальной версии. Поставщики крупных Linux-дистрибутивов уже выпустили соответствующие обновления.
оригинал на www.nixp.ru
[NIXP] В OpenSSL 1.0.1 обнаружена критическая уязвимость CVE-2014-0160
Модератор: Модераторы разделов
-
Dmitry Shurupov
- Сообщения: 336
- Статус: Open Source geek
- ОС: Ubuntu Linux
[NIXP] В OpenSSL 1.0.1 обнаружена критическая уязвимость CVE-2014-0160
По-моему, это еще один повод перейти на Убунту.