Баг в OpenSSL под названием «Heartbleed» ( «Heart bleed» ) и утечка конфиденциальной информации
Безопасность наших клиентов в Интернете – часть нашей работы, поэтому мы спешим поделиться с Вами последними новостями и рекомендуем как можно скорее предпринять меры, чтобы избежать утечки информации. В начале апреля 2014 сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.
Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой ошибки кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей, и всему контенту, который должен передаваться в кодированном виде. При этом не остается никаких следов проникновения в систему.
Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага (Heartbleed bug) исключительно велик.
Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Дистрибутивы с более ранними версиями
OpenSSL:
Debian Squeeze (oldstable),
OpenSSL 0.9.8o-4squeeze14,
SUSE Linux Enterprise Server.
ЧТО РЕКОМЕНДУЕТСЯ ПРЕДПРИНЯТЬ:
1. Баг Heart bleed bug присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.
2. Предупредите Ваших пользователей о возможной утечке.
3. Перевыпустите SSL-сертификат(ы) с новым приватным ключом.
4. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.
5. Замените пароли Ваших пользователей.
Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security. Именно последний сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код. Ребята из компании Codenomicon подготовили подробное описание бага и даже открыли для него отдельный сайт Heartbleed.com с изображением кровоточащего сердца.
Пожалуйста, будьте внимательны с конфиденциальной информацией.