• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. «Малышке был месяц, они ее очень ждали». Что известно о троих погибших в страшной аварии под Волковыском
  2. «Вместо 25 рублей — 129». Банк повысил предпринимателю плату за обслуживание в 5 раз из-за овердрафта
  3. Служит в армии и копит на дом в деревне. В женском биатлоне — новая звезда (и она невероятно милая)
  4. Протестировали, как работает оплата проезда в метро по лицу, и рассказываем, что из этого вышло
  5. Новый декан у ФМО БГУ и большой красно-зеленый флаг в Новой Боровой. Что происходит в Беларуси 4 марта
  6. Белорусов атаковали банковские мошенники. Откуда у них данные, почему их сложно найти, как защититься
  7. Для водителя, который прокатил на капоте гаишника, запросили 11 лет колонии усиленного режима
  8. Нет ни документов, ни авто. В правительстве объяснили, как снять с учета такую машину, чтобы не платить налог
  9. «Осторожно, тут могут быть бэчебэшники». Как в Купаловском прошел первый спектакль после президентских выборов
  10. На продукты рванули цены. Где сейчас выгоднее закупаться — на рынках, в гипермаркетах, дискаунтерах?
  11. Минское «Динамо» рубится во втором матче против СКА в Кубке Гагарина. Онлайн
  12. Все магазины Bigzz и «Копилка» не работают. Компания ушла в ликвидацию
  13. Инициатива BYPOL выложила напутственную речь якобы экс-главы МВД по случаю его ухода с должности
  14. Год с коронавирусом. В какие страны сейчас могут слетать белорусы и что для этого нужно
  15. Медики написали открытое письмо главе профсоюза: «Мог ли врач промолчать и позволить опорочить имя убитого?»
  16. «В школе думали, что приводит бабушка». История Даши, у которой разница в возрасте с мамой 45 лет
  17. «Мы с вами не допустили гражданского раскола». Лукашенко и Кубраков поздравили милиционеров
  18. Как перекладывают «по карманам» долги госсектора и чем это чревато
  19. Уволился декан ФМО БГУ Виктор Шадурский. Он возглавлял факультет больше 12 лет
  20. По зарплатам «в конвертах» ввели новшество. Оно касается как работников, так и нанимателей
  21. Белорусские биатлонистки стали вторыми в эстафете, проиграв одну секунду
  22. Две машины в Андорру, пять — в Эстонию, 121 — в Германию. Интересные факты об экспорте авто из Беларуси
  23. Беларусбанк начал выдавать потребительские кредиты. Какую сумму дадут при зарплате в 1000 рублей
  24. Итоги ажиотажа: за два месяца техосмотр прошло столько машин, сколько раньше за полгода
  25. «За полтора месяца мое душевное рвение ушло в минус». Минчанка продала квартиру и купила синагогу
  26. Носкевич: Уголовное дело Тихановского до конца месяца будет передано прокурору для направления в суд
  27. Эксперт рассказал, как правильно посеять семена и что делать, чтобы они взошли
  28. «Предложили снять, я отказался». Житель «Пирса» повесил на балконе БЧБ-флаг, а его авто забрал эвакуатор
  29. Перенес жуткое сотрясение, но вернулся и выиграл два Кубка Стэнли. Хоккеист, которым восхищается весь мир
  30. «Парень выдержал полгода». История мотоциклистки, которая в 25 лет стала жертвой страшной аварии


Андрей Васильков,

Heatrbleed
Бюллетень по безопасности CVE-2014—0160 вышел 7 апреля. Из него стало известно о длительном существовании критической уязвимости в криптографическом пакете OpenSSL.
 
Обнаружилось, что алгоритмы реализации протоколов TLS и SSL в большинстве используемых сегодня версий OpenSSL некорректно обрабатывают пакеты расширения Heartbeat (из-за чего ошибка получила название HeartBleed). Это позволяет злоумышленникам получить удалённый доступ к конфиденциальной информации из оперативной памяти активного сетевого процесса за пределами буфера.
 
Удивительно, но критическую уязвимость не замечали на протяжении двух лет. Ей подвержены все версии OpenSSL от 1.0.1 до 1.0.1f включительно, а также 1.0.2-beta1.
 
В результате допущенной ошибки в них не проверяется фактическая длина в записи SSLv3. Это позволяет прочитать без авторизации до 64 Кбайт из оперативной памяти процесса на подключённом клиенте или сервере за каждое обращение. Во многих случаях этого оказывается достаточно для получения ключей, паролей или других секретных данных.
 
Изображение dailydot.com
Изображение dailydot.com

Уязвимые версии криптографического пакета OpenSSL с марта 2012 года входят в состав многих дистрибутивов ОС семейства BSD и практически всех ОС Linux ветвей Debian, RedHat и Slackware.
 
В первую очередь ошибка затрагивает серверы Apache, nginx, проект Tor (через веб-сервер torproject.org), а также многие веб-сайты, использующие протокол HTTPS, даже если доступ к ним осуществляется по VPN"Возможно, нам следует выкинуть наш SSL-сертификат и получить новый", — пишут в блоге проекта Tor.
 
По данным W3Techs, под управлением Apache сегодня работают 60,7% всех сайтов интернета. Написанный Игорем Сысоевым HTTP и почтовый сервер nginx обслуживает около 18% популярных российских сайтов, включая "Яндекс", Mail.Ru, "Рамблер" и "ВКонтакте".
 

По оценке ArsTechnica, критическая уязвимость в OpenSSL затронула в общей сложности более двух третей сайтов в мире.


Особенно важен тот факт, что атака с использованием данной уязвимости не оставляет никаких следов в логах сервера, поэтому не существует способа достоверно узнать, воспользовался ли кто-то этой ошибкой.
 
Изображение slashgear.com
Изображение slashgear.com

Уязвимость в OpenSSL была обнаружена экспертами из фирмы Codenomicon в начале апреля. Факт её существования подтверждён независимым исследованием исходного кода библиотеки ssl/d1_both.c, проведённым группой под руководством специалиста по вопросам безопасности компании Google Нила Мехты (Neel Mehta).
 
"Ради проверки мы решили взломать сами себя, — рассказывает Мехта. — Мы смогли получить секретные ключи, используемые для сертификатов X.509, имена пользователей и их пароли, перехватить мгновенные сообщения и электронные письма, прочесть критически важные для бизнеса документы".
 
Патч для OpenSSL был выпущен Ником Салливаном (Nick Sullivan) — системным программистом компании CloudFlare. Ему помогали программист Google Адам Лэнгли (Adam Langley) и советник по безопасности The OpenSSL Project Бодо Мюллер (Bodo Moeller).
 
Наиболее важная часть исправлений коснулась добавления проверки длины полезной нагрузки.
 
/* Read type and payload length first */
if (1 + 2 + 16 > s->s3->rrec.length)
return 0; /* silently discard */
Они же придержали опубликование официального бюллетеня с описанием ошибки до её исправления. Однако по результатам своих исследований группа Мехта вынесла крайне неутешительный прогноз: поскольку уязвимость существовала давно и факты о её эксплуатации получить невозможно, её уже могут скрыто использовать для получения несанкционированного доступа и создания других обходных путей на будущее. Поэтому, считают эксперты Google, проблема НСД останется актуальной даже после установки патча.
 
Пока в бюллетене и распространённых информационных сообщениях официально советуют предпринять следующие шаги:
 
  • установить исправленную версию OpenSSL 1.0.1g или 1.0.2-beta2 либо перекомпилировать пакет OpenSSL с ключом OPENSSL_NO_HEARTBEATS;
  • перевыпустить SSL-сертификат;
  • использовать приманки (honeypot), имитирующие наличие серверов с уязвимым пакетом OpenSSL, и проверять подключения к ним.
-10%
-40%
-10%
-90%
-40%
0072680