Уязвимость нулевого дня Open SSL #heartbleed исправлена, но действительно ли ваш сервер защищен от уязвимостей? Проверьте сейчас

Исследователи безопасности обнаружили крайне критический и высокорисковый дефект в криптографической библиотеке программного обеспечения под названием OpenSSL. OpenSSL используется примерно двумя третьими веб-серверов для идентификации себя перед конечными пользователями и предотвращения утечки или слежки за паролями, банковскими реквизитами и другими конфиденциальными данными. Потенциальные киберпреступники и злоумышленники, которые могут использовать эту уязвимость, могут отслеживать все данные, передаваемые между сервисом и клиентом, или расшифровывать исторические зашифрованные данные с преступным намерением. Многие современные операционные системы используют уязвимые версии Open SSL, включая Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 и OpenSUSE 12.2. Кроме того, два из самых широко используемых веб-серверов, Apache и nginx, а также большинство почтовых серверов и чатов, VPN и т.д. используют эту библиотеку кода. Кроме того, большинство устройств, использующих встроенный Linux, таких как маршрутизаторы и т.д., также подвержены этой уязвимости.

Недостаток, который существовал в производственных версиях OpenSSL в течение двух лет с декабря 2011 года, мог означать, что хакеры/злоумышленники могли восстановить закрытый ключ шифрования в цифровых сертификатах. Это могло быть использовано для аутентификации данных, передаваемых между серверами и конечными пользователями, что облегчает киберпреступникам эксплуатацию почти всех учетных данных пользователей, таких как адреса электронной почты, пароли, банковские имена пользователей и пароли и т.д. Ошибка не оставляла следов атаки в журналах сервера, поэтому никто не мог знать, были ли их серверы скомпрометированы, и конечные пользователи не знали, подвергались ли они кражам идентификационных данных.

• Объявление об ошибке в OpenSSL совпало с выпуском версии 1.0.1g Open SSL. Ей было дано прозвище «Heartbleed», чтобы подчеркнуть, что ошибка действительно находилась в сердце OpenSSL. Старые версии OpenSSL, а именно 1.0.1 до 1.0.1f, с двумя исключениями: ветка OpenSSL 1.0.0 и 0.9.8, все еще уязвимы.*

• CloudFlare, провайдер CDN, заявил в своем блоге, что он уже знал об уязвимости и, следовательно, предпринял шаги для предотвращения каких-либо компрометаций с серверами, поддерживаемыми CloudFlare.*

Сегодня была объявлена новая уязвимость в OpenSSL 1.0.1, которая позволяет злоумышленнику раскрыть до 64 кБ памяти подключенному клиенту или серверу (CVE-2014-0160). Мы исправили эту уязвимость на прошлой неделе до того, как она была обнародована. Все сайты, использующие CloudFlare для SSL, получили это исправление и автоматически защищены.

Аналитик безопасности Джаред Стаффорд выпустил код тестирования на Python для этой уязвимости. PDF-файл тестера на Python приведен ниже для вашего ознакомления.

Кроме того, вы также можете посетить https://filippo.io/Heartbleed/, чтобы проверить, уязвим ли ваш сервер к этой уязвимости нулевого дня. Для получения дополнительной информации вы можете посетить сайт Github, посвященный Heartbleed, или сайт heartbleed.

*Обновление: Как только уязвимость была опубликована в Интернете, Интернет начал «кровоточить» утечками. Сотни тысяч лучших сайтов, включая Yahoo, Microsoft, Ubuntu, ФБР, банковские сайты, государственные сайты и платежные шлюзы, оказались уязвимыми, и хакеры уже начали атаковать и утекать учетные данные пользователей с многих сайтов.*

• • Некоторые другие сайты, включая eBay, быстро исправили уязвимость, спасая себя от утечки учетных данных пользователей. Многие другие сайты временно отключаются для исправления уязвимости, поэтому, если вы видите, что некоторые крупные сайты отключаются на техническое обслуживание в ближайшие несколько часов, это не большая проблема, если только утечки из их серверов не появятся в Интернете до этого.
• • Лучший способ оставаться в безопасности — не входить в любые онлайн-сервисы, уязвимые к heartbleed, пока системный администратор не исправит это.