22.04.2014 Экспертиза, БезопасностьОшибка Heartbleed представляет собой недавно вскрытую уязвимость в криптографический библиотеке OpenSSL (ее номер — CVE-2014-0160), затрагивающую зашифрованные коммуникации веб-приложений, электронной почты, клиентов передачи мгновенных сообщений и некоторых SSL-подключений через виртуальные частные сети. Heartbleed позволяет злоумышленникам получать доступ к контенту оперативной памяти веб-сервера и других уязвимых сервисов и выведывать секретные ключи SSL, содержимое конфигурационных файлов, имена и пароли пользователей, сеансовые идентификаторы, данные cookie и DTLS, а также может использоваться для наращивания объемов трафика и DDoS-атак. От проекта OpenSSL поступили разъяснения, согласно которым ошибка имеется только в OpenSSL 1.0.1 и бета-версии 1.0.2, включая 1.0.1f и 1.0.1-beta1. (Представители проекта OpenSSL поблагодарили Нила Мехту из Google Security за обнаружение давно существовавшей ошибки и Адама Лэнгли и Бодо Мёллера за её исправление.) Ряд фирм, занимающихся сервисами информационной безопасности, в том числе Codenomicon и Accuvant Labs ...
читать далее.
