Bug w OpenSSL zagraża wielu serwerom sieciowym

Heart­bleed Bug - czyli Usterka Krawiącego Serca - to poważne zagrożenie dla serwerów, a co za tym idzie - prywatności użytkowników. Może także poważnie wpływać na samo łączenie z Internetem czy VPN.

Usterka została wykryta przez pracowników Google oraz Codenomicon, firmy zajmującej się bezpieczeństwem. Umożliwia ona dostęp do informacji chronionych przez SSL/TLS. Nie wiadomo, czy miały już miejsce jakieś wycieki, ponieważ haker, dostając się do danych poprzez tego buga, nie zostawia po sobie żadnych śladów. Biblioteki OpenSSL używane są na głównie serwerach działających pod Linxuem, a ponieważ są one powszechne, stopień zagrożenia został określony przez specjalistów jako "bardzo wysoki". Intruz który wykorzysta lukę do wejścia na serwer, może wykraść hasła, klucze, magazynowane dane, itp. Inne obszary, gdzie używa się trafnej biblioteki, to między innymi narzędzia do tworzenia sieci prywatnych - OpenVPN.

Debian Wheezy

Debian Wheezy

Na ataki podatne jest OpenSSL w wersjach od 1.0.1 do 1.0.1f. Bug był znany od 2012 roku i wydanie 1.0.1g jest już go pozbawione. Poniżej lista dystrybucji Linuxa, których posiadacze powinni sprawdzić, czy mają aktualną bibliotekę:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) oraz 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)


Zobacz również