Ошибка реализации TLS Heartbeat в OpenSSL (heartbleed)
По крайней мере, “углубившийся” анализ исходного кода криптобиблиотек даёт свои результаты – в OpenSSL открылась уязвимость, приводящая к утечке содержимого памяти (и на сервере, и на клиенте – без разницы: уязвимость универсальная). Естественно, такая утечка означает, что могли утечь секретные ключи; смена секретных ключей влечёт за собой смену сертификатов, в общем, проблем добавится.
Скорее всего, обнаружение подобных шедевров в коде наиболее распространённых библиотек продолжится. Конечно, с каждой найденной ошибкой защищённость растёт, это факт. Но если учитывать, что в АНБ (наверняка) есть хорошо аннотированные каталоги подобных уязвимостей, то рост защищённости уже не кажется таким уж многообещающим.
Кстати, это очередной хороший пример, объясняющий, почему может быть полезно хранить полный дамп шифрованного трафика. В штатных логах данная утечка никак не отражается, то есть, обнаружить в логах, что утекли ключи – не выйдет (только предположить, что могли утечь). А вот в дампе трафика ключи вполне себе будут заметны, и утечку можно детектировать с высокой точностью.
Пара полезных ссылок:
Diff исправления уязвимости (добавлена проверка границы области памяти, в общем-то, достаточно очевидная для опытного аудитора кода; но такой аудитор должен был ещё посмотреть в код, да).
Онлайн-инструмент для проверки уязвимости конкретного веб-сервера (проверил – похоже, работает корректно).
Адрес записки: https://dxdt.ru/2014/04/09/6727/
Похожие записки:
- Метаинформация, мессенджеры и цепочки событий в трафике
- Задержки пакетов, СУБД, TCP и РЛС
- Смартфон-шпион: восемь лет спустя
- Архитектура микропроцессоров и изоляция уровней исполнения
- ИИ-корпорация SSI и исправление кода веб-страниц
- Статья Cloudflare про ECH/ESNI
- Статья о технологии Encrypted Client Hello
- Реплика: теоретическая разборка карамелек
- IP-адреса на разных уровнях восприятия
- GNSS и управление трактором
- Описание DoS-атаки с HTTP/2 от Cloudflare
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1 <t> // 9th April 2014, 11:36 // Читатель SunChaser написал:
Непонятно немного со сканером. Разрабы CentOS утверждают что выпустили патч, я его поставил, но сканер всё равно показывает, что мой сервак уязвим. Центосовцы нагнали?
2 <t> // 9th April 2014, 14:09 // Александр Венедюхин:
Сервисы, конечно, перезапускали?
3 <t> // 9th April 2014, 16:43 // Читатель SunChaser написал:
Конечно. Ребутнул виртуалку сразу же
Но проблема нашлась — кроме OpenSSL надо было отдельно обновить SPDY