Heartbleed: luka w OpenSSL, która od dwóch lat zagraża serwerom

Oficjalnie nazywa się CVE-2014-0160, nieoficjalnie przez specjalistów od bezpieczeństwa ochrzczony został mianem Heartbleed. Pomimo trochę „cukierkowej” nazwy, jest jednym z groźniejszych błędów, jaki odkryto w poniedziałek w bibliotece kryptograficznej OpenSSL.

Błąd został odkryty niezależnie od siebie przez specjalistów z fińskiej firmy Codenomicon oraz pracowników Google. Pojawił się on we wprowadzonej w roku 201. implementacji rozszerzenia protokołów TLS/DTLS o nazwie RFC6520 hearbeat (stąd potoczna nazwa błędu). Luka potencjalnie pozwala każdemu doprowadzić do wycieku pamięci RAM hostów, które stosują podatną wersję OpenSSL. W partii o wielkości 64 kB nie będzie zbyt dużo informacji, ale procedurę można powtarzać bez ograniczeń, co może potencjalnie doprowadzić do przejęcia haseł, loginów czy nawet kluczy prywatnych z takich serwerów.

Finowie utrzymują, że podczas testów udało się im wydobyć z pamięci RAM zaatakowanych maszyn klucze do certyfikatów X.509. nazwy i hasła użytkowników, emaile, wiadomości komunikatorów, a nawet dokumenty. Co gorsza u ofiary atak nie pozostawia żadnego śladu. Jedynym sposobem przeciwdziałania potencjalnym atakom jest jak najszybsza aktualizacja OpenSSL do wersji 1.0.1g. Wersje OpenSSL od 1.0.1 do 1.0.1f, jak również OpenSSL 1.0.2-beta, są podatne na ataki.

Niestety luka została zauważona dopiero po dwóch latach. Nie wiadomo czy w tym czasie ktoś, kto nie był zainteresowany ujawnieniem informacji o niej (cyberprzestępcy, agencje rządowe), nie korzystał z niej. Dlatego obecnie jedynym pewnym sposobem ponownego pełnego zabezpieczenia wszystkich połączeń SSL/TLS jest aktualizacja OpenSSL do wersji 1.0.1. oraz wygenerowanie nowych certyfikatów.

Polecamy w serwisie Giznet.pl: Geralt doczeka się hollywoodzkiej adaptacji