Heartbleed
Heartbleed (CVE-2014-0160) — значительная ошибка в реализации операций с памятью в OpenSSL, позволяющая получить доступ к памяти машины.
Содержание |
[править] Описание
Введена в OpenSSL в 2011 г., в стабильные версии внесена в 2012 г., найдена и исправлена только в 2014 г. Ошибка позволяла получить до 64 Кб памяти приложения с каждым запросом, что позволяло потенциально извлечь находящиеся в памяти закрытые ключи, cookie и иные данные. Подвержены атаке (при включенном расширении Heartbeat):
- OpenSSL 1.0.2-beta
- OpenSSL 1.0.1 — OpenSSL 1.0.1f
CloudFlare разослал пресс-релиз, в котором заявил о защите сайтов на CloudFlare от уязвимости.
Потенциально проблемой затронуто несколько миллионов веб-сайтов. Интернет-гиганты, такие как Google, Facebook и др. заявили, что не обнаружили использования уязвимости в целях взлома их серверов и предложили не беспокоиться. Ряд малых сайтов посоветовали сменить все пароли на всех сайтах, также владельцам сайтов было предложено сбросить все cookie.
В проектах Фонда Викимедиа зарегистрированным участникам также было рекомендовано изменить пароли[1].
[править] Интересные факты
- Heartbleed — одна из первых уязвимостей, получившая собственный логотип.
- Название Heartbleed происходит от расширения Heartbeat, в котором содержалась ошибка.
[править] Примечания
[править] Ссылки
Heartbleed относится к теме «Информационная безопасность» |