MENU

Luka w OpenSSL pozwala przechwycić prywatny klucz sesji

9 kwietnia 2014CSO

Nazwa tej luki to Heartbleed (CVE-2014-0160). OpenSSL to bardzo popularna biblioteka służąca do zabezpieczenia komunikacji, w tym np. transmisji danych pomiędzy użytkownikiem a serwerem jego banku. Luka istnieje od dwóch lat.

heartbleed_logo

OpenSSL to zestaw narzędzi Open Source służący do realizacji protokołów Secure Sockets Layer (SSL v2/v3) i Transport Layer Security (TLS v1), jak i ogólnego przeznaczenia biblioteka kryptograficzna. Jak się okazało, OpenSSL nieprawidłowo obsługuje pamięć w rozszerzeniu TLS, co prowadzi do ujawnienia na żądanie informacji m.in. dotyczących kluczy prywatnych.

Dzięki luce hakerzy są więc w stanie odczytać transmisję zabezpieczoną przez OpenSSL. Podczas testów ustalono, że wykraść można w zasadzie wszystko: hasła, dokumenty, maile. Po ataku nie pozostają zaś jakiekolwiek ślady. Zagrożone mają być setki tysięcy serwerów.

Nie wiadomo jak wiele osób w ciągu 2 lat dowiedziało się o luce i czy została już wykorzystana. Udostępniono już jednak do niej patch. Jak radzi jeden z członków Grupy IT Professionals in Poland, jeżeli serwery uzywaja Forward Secrecy to są odporne na taki atak.

Więcej na stronie poświęconej luce Heartbleed.

The following two tabs change content below.
Adam Jadczak

Adam Jadczak

O IT w biznesie pisze od 23 lat. Specjalizuje się w zagadnieniach związanych z rynkiem IT oraz informatyką w zastosowaniach biznesowych. Od września 2013 roku redaktor naczelny serwisu ITwiz.pl, od kwietnia 2014 roku redaktor naczelny magazynu ITwiz. Pomysłodawca raportu ITwiz Best 100 „Dwa oblicza IT”, wydanego w czerwcu 2015 roku.

Podobne tematy:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

« »