Внимание! Серьёзная уязвимость OpenSSL Опции Поделиться

[Смит]

Внимание! Серьёзная уязвимось OpenSSL
Проверте Ваши сервера и хосты.

Российская газета и другие СМИ сообщают...

Открытый криптографический пакет OpenSSL содержит опасную уязвимость, которая позволяет злоумышленникам получать доступ к оперативной памяти компьютеров. Информация об этом опубликована на сайте разработчиков пакета.

Уязвимость обнаружена в версии OpenSSL 1.0.1, которая вышла в марте 2012 года. Таким образом, в течение более чем двух лет злоумышленники имели возможность похищать информацию, используя данную брешь в безопасности, оставаясь при этом незамеченными. Воспользовались ли хакеры этой возможностью, неизвестно.

На сегодняшний день уязвимая версия OpenSSL работает на многих почтовых серверах в интернете, веб-серверах Apache и Nginx, в программах для обмена сообщениями и так далее. Как пишет Ars Technica, до 2/3 всех веб-серверов в Сети, использующих протокол HTTPS, подвержены риску утери конфиденциальной пользовательской информации, включая пароли и ключи шифрования.

В настоящее время разработчики OpenSSL выпустили "заплатку" - версию 1.0.1g, которую всем администраторам и разработчикам рекомендуется установить как можно быстрее. После установки обновления пользователи веб-сервисов должны быть предупреждены о возможной утечке их паролей.

Энтузиасты, обнаружившие уязвимость, запустили специальный сайт, который проверяет, подвержен тот или иной сайт возможной краже информации с использованием данной уязвимости. Как показали результаты тестирования, большинство популярных в России веб-сервисов, включая Gmail и "Яндекс.Почту", не содержат "дыру" в безопасности, позволяющую похищать пользовательские и другие данные. Подробное описание уязвимости и перечень мер по обеспечению безопасности на английском языке опубликованы на сайте Heartbleed.com.
==================

Даю адрес сайта, где можно провериться на наличие уязвимости: http://filippo.io/Heartbleed/

Наш сервер со всеми хостами (где лежит этот форум) проверен, проблемы нет.

[ИВК]

Спасибочки. Сбегал по ссылке, хотел проверить свой сайт. Фигушки, говорит, проверяем хостинг. Ну проверил хостинг...
All good, timeweb.ru seems fixed or unaffected!

Насколько я понимаю, это не гарантирует того, что какая-то информация не украдена уже раньше Впрочем, беспокоиться надо в первую очередь тем, у кого могли украсть что-то действительно серьёзное и опасное.

[speccyfighter]

Впрочем, беспокоиться надо в первую очередь тем, у кого могли украсть что-то действительно серьёзное и опасное.

Очень философская и неоднозначная вещь в плане действительно серьёзного и опасного.
Ситуация для рядового пользователя может выглядеть так:
Существует аккаунт в интернет магазине. Есть две группы полей. В одной группе указывается фиксированный адрес доставки, в другой - любой произвольный. Результатом клиент сам определяет адрес доставки в очень широком диапазоне. В известном смысле безграничном. Оплачивает услуги владелец аккаунта.
Не нужно быть сильно догадливым, чтобы представить, что для рядового клиента ниоткуда взявшаяся сумма оплаты за ниоткуда взявшийся заказ, может оказаться просто фантастической.

Поэтому на мой взгляд, вопрос "а что там у меня делается и насколько это катастрофично" должен задать себе каждый.
Впрочем задавать его себе нужно и при отсутствии уязвимостей.