Dziura w OpenSSL pozwala na kradzież danych z wielu serwerów w Internecie
Nowo odkryta dziura (dzisiaj wypuszczono CVE) pozwala na wyciek pamięci serwerów z wersją OpenSSL podatną na atak (wszystko poniżej 1.0.1g). Możliwe skutki: kradzież kluczy prywatnych i certyfikatów, co umożliwi podszywanie się pod innych, ataki MITM i inne. Jeśli masz serwer WWW, przeczytaj!
maver z- #
- #
- #
- #
- #
- #
- 8
Komentarze (8)
najlepsze
INFORMACJA NIEPRAWDZIWA. Tylko 1.0.1 do 1.0.1g. Za artykułem:
Status of different versions:
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
>
OpenSSL 1.0.1g is NOT vulnerable
>
OpenSSL 1.0.0 branch is NOT vulnerable
>
OpenSSL 0.9.8 branch is NOT vulnerable
>
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of
No porównajmy:
Otwarte oprogramowanie:
dziura wykryta dzisiaj, dzisiaj jest nowa wersja do zainstalowania 1.0.1g (jak ktoś nie może zainstalować, to może przekompilować starą wersję openssl z opcją "NO HEARTBEATS."
Zamknięte oprogramowanie:
http://www.komputerswiat.pl/nowosci/bezpieczenstwo/2010/35/10-letnia-luka-w-znanym-odtwarzacz-wstyd.aspx?m=0
http://www.pcworld.pl/news/105681/Sa.juz.exploity.na.kolejna.niezalatana.dziure.w.MS.Word.html
Microsoft nie poinformował kiedy zamierza usunąć błąd w swojej aplikacji. Wiadomo jedynie, że sprawa jest w toku i jeżeli okaże się to konieczne, wkrótce zostanie opublikowana odpowiednia łata. Przypomnijmy, że to nie pierwszy przypadek groźnego błędu wykrytego