Mokymai

Rasta pavojinga Openssl bibliotekos spraga

2014-04-09

Pažeidžiamos kompiuterinės sistemos ir programos:

Tai gali būti Apache, Nginx web serveriai, sendmail, postfix, ssh ir kitos programos, naudojančios OpenSSL biblioteką.

Aprašymas:

Ši spraga leidžia pasiekti operatyvinės atminties sritis, kurias naudoja Openssl biblioteka. Jose gali būti piktavaliams prieinama informacija susijusi su privačiais SSL (angl Secure Socket Layer) raktais, vartotojų prisijungimo duomenis ir kita. Internete jau paviešintas kodas (angl. exploit), leidžianti išnaudoti šią spragą.

Rekomenduojama vartotojams:

Atnaujinti nedelsiant OpenSSL bibliotekas bent iki 1.0.1g versijos.

Įrankiai patikrinimui:

http://filippo.io/Heartbleed/
https://github.com/musalbas/heartbleed-masstest

Informacijos šaltiniai:

http://www.enisa.europa.eu/media/news-items/heartbleed-bug-dont-panic-enisa-publishes-information-for-users
http://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
http://www.openssl.org/news/secadv_20140407.txt

Visi pranešimai