Rasta pavojinga Openssl bibliotekos spraga
Pažeidžiamos kompiuterinės sistemos ir programos:
Tai gali būti Apache, Nginx web serveriai, sendmail, postfix, ssh ir kitos programos, naudojančios OpenSSL biblioteką.
Aprašymas:
Ši spraga leidžia pasiekti operatyvinės atminties sritis, kurias naudoja Openssl biblioteka. Jose gali būti piktavaliams prieinama informacija susijusi su privačiais SSL (angl Secure Socket Layer) raktais, vartotojų prisijungimo duomenis ir kita. Internete jau paviešintas kodas (angl. exploit), leidžianti išnaudoti šią spragą.
Rekomenduojama vartotojams:
Atnaujinti nedelsiant OpenSSL bibliotekas bent iki 1.0.1g versijos.
Įrankiai patikrinimui:
http://filippo.io/Heartbleed/
https://github.com/musalbas/heartbleed-masstest
Informacijos šaltiniai:
http://www.enisa.europa.eu/media/news-items/heartbleed-bug-dont-panic-enisa-publishes-information-for-users
http://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
http://www.openssl.org/news/secadv_20140407.txt