OpenSSL оказалась уязвимой к атакам хакеров

23.05.2014

Из-за отсутствия проверки на количество отправляемых данных в реализации TLS-расширения через защищенное соединение оказалось возможным получить 64 Кб данных из памяти процесса. Более того, при повторном запросе можно получить данные из другой области, что в конечном итоге позволяет получить все, что содержится в памяти процесса. Из-за этой уязвимости стало возможным получить пароли, номера сессий, ключей и многих других данных. Фактически, злоумышленники могли получить всю память, используемую защищенным соединением и остаться при этом полностью незамеченными. А после получения SSL-сертификата с уязвимых серверов, перехват данных становился делом техники.

Данная уязвимость могла стать причиной утечки данных из примерно половины серверов, которые поддерживают защищенное подключение через OpenSSL:

  • XMPP-серверы;
  • web-серверы;
  • почтовые серверы;
  • сервисы сети Tor;
  • и многие другие сервисы.

Также большой неприятностью для администраторов таких серверов стало то, что атаки никак не отражались в логах систем, поэтому выяснить, подвергся ли сервер атаке, невозможно. Когда исследования компаний Codenomicon и Google подтвердили возможность атаки без проявлений в логах, были созданы подставные сервера для фиксации попыток атак через эту уязвимость. На сегодняшний день данных о результатах работы этих подставных серверов пока нет.

А поскольку ошибка присутствовала в нескольких версиях OpenSSL в течение двух лет, то сегодня множество системных администраторов были вынуждены сменить пароли, ключи, SSL-сертификаты и так далее сразу после обновления протокола. Даже те компании, которые ничего не потеряли из-за этой уязвимости, не могут быть уверены в том, что не подвергались атакам. И еще неизвестно сколько данных было украдено за время существования ошибки, и во что это выльется со временем. Кроме того, множество IT-отделов по всему миру получили внезапный приток работы плюс к основным задачам.

Проблема проявлялась в нескольких версиях OpenSSL: 1.0.1 (все под-версии) и 1.0.2test. Более старые версии не содержали этой уязвимости, поэтому 0.9.х и 1.0.0х не требуют срочного обновления.

Публикация компанией Dropbox кода Zulip – средства общения для IT-разработчиков

20.11.2015
Одной из одобрительно встреченных программистами инициатив, реализующихся в рамках акции Hack Week, стала публикация исходного кода приложения Zulip – веб-приложения для общения между собой разработчиков в сфере IT-технологий.

Объединение ОС Android и Chrome

17.11.2015
Слухи об объединении двух крупнейших ОС компании Google, Android и Chrome, гуляют по Интернету уже более 5 лет, но до сих пор этого не случилось, хотя очевидно, что с течением времени эти ОС становятся всё более похожими: так, в последнее время появилось немало Android-устройств, к которым прилагаются клавиатуры, а Chrome OS «научилась» работать с сенсорными экранами.

Конференция Linux Piter 2015

15.11.2015
Уже почти через неделю в Санкт-Петербурге впервые в истории пройдёт конференция, посвящённая проблемам свободного программного обеспечения – Linux Piter 2015.