Внимание! Серьёзная уязвимость OpenSSL |
Поделиться |
Здравствуйте, гость ( Вход | Регистрация )
Внимание! Серьёзная уязвимость OpenSSL |
Поделиться |
10.4.2014, 10:48
Сообщение
#1
|
|
Мастер Группа: Главный администратор Сообщений: 879 Регистрация: 25.11.2006 Вставить ник Цитата Пользователь №: 5 Страна: Россия Город: Не указан Пол: Муж. Репутация: 12 |
Внимание! Серьёзная уязвимось OpenSSL
Проверте Ваши сервера и хосты. Российская газета и другие СМИ сообщают... Открытый криптографический пакет OpenSSL содержит опасную уязвимость, которая позволяет злоумышленникам получать доступ к оперативной памяти компьютеров. Информация об этом опубликована на сайте разработчиков пакета. Уязвимость обнаружена в версии OpenSSL 1.0.1, которая вышла в марте 2012 года. Таким образом, в течение более чем двух лет злоумышленники имели возможность похищать информацию, используя данную брешь в безопасности, оставаясь при этом незамеченными. Воспользовались ли хакеры этой возможностью, неизвестно. На сегодняшний день уязвимая версия OpenSSL работает на многих почтовых серверах в интернете, веб-серверах Apache и Nginx, в программах для обмена сообщениями и так далее. Как пишет Ars Technica, до 2/3 всех веб-серверов в Сети, использующих протокол HTTPS, подвержены риску утери конфиденциальной пользовательской информации, включая пароли и ключи шифрования. В настоящее время разработчики OpenSSL выпустили "заплатку" - версию 1.0.1g, которую всем администраторам и разработчикам рекомендуется установить как можно быстрее. После установки обновления пользователи веб-сервисов должны быть предупреждены о возможной утечке их паролей. Энтузиасты, обнаружившие уязвимость, запустили специальный сайт, который проверяет, подвержен тот или иной сайт возможной краже информации с использованием данной уязвимости. Как показали результаты тестирования, большинство популярных в России веб-сервисов, включая Gmail и "Яндекс.Почту", не содержат "дыру" в безопасности, позволяющую похищать пользовательские и другие данные. Подробное описание уязвимости и перечень мер по обеспечению безопасности на английском языке опубликованы на сайте Heartbleed.com. ================== Даю адрес сайта, где можно провериться на наличие уязвимости: http://filippo.io/Heartbleed/ Наш сервер со всеми хостами (где лежит этот форум) проверен, проблемы нет. -------------------- Смит: Синтетическая Машина для Интенсивного Террора
Kiborg - GOST 34327-69 Made in USSR |
|
|
18.4.2014, 9:47
Сообщение
#2
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
Спасибочки. Сбегал по ссылке, хотел проверить свой сайт. Фигушки, говорит, проверяем хостинг. Ну проверил хостинг...
All good, timeweb.ru seems fixed or unaffected! Успокоился... -------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
19.4.2014, 11:29
Сообщение
#3
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10033 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
Спасибочки. Сбегал по ссылке, хотел проверить свой сайт. Фигушки, говорит, проверяем хостинг. Ну проверил хостинг... All good, timeweb.ru seems fixed or unaffected! Насколько я понимаю, это не гарантирует того, что какая-то информация не украдена уже раньше Впрочем, беспокоиться надо в первую очередь тем, у кого могли украсть что-то действительно серьёзное и опасное. -------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
4.5.2014, 17:11
Сообщение
#4
|
|
Крупный специалист Группа: Пользователь Сообщений: 461 Регистрация: 1.5.2013 Вставить ник Цитата Пользователь №: 2379 Страна: Беларусь Город: Не указан Пол: Муж. Репутация: 1 |
Впрочем, беспокоиться надо в первую очередь тем, у кого могли украсть что-то действительно серьёзное и опасное. Очень философская и неоднозначная вещь в плане действительно серьёзного и опасного. Ситуация для рядового пользователя может выглядеть так: Существует аккаунт в интернет магазине. Есть две группы полей. В одной группе указывается фиксированный адрес доставки, в другой - любой произвольный. Результатом клиент сам определяет адрес доставки в очень широком диапазоне. В известном смысле безграничном. Оплачивает услуги владелец аккаунта. Не нужно быть сильно догадливым, чтобы представить, что для рядового клиента ниоткуда взявшаяся сумма оплаты за ниоткуда взявшийся заказ, может оказаться просто фантастической. Поэтому на мой взгляд, вопрос "а что там у меня делается и насколько это катастрофично" должен задать себе каждый. Впрочем задавать его себе нужно и при отсутствии уязвимостей. |
|
|
4.5.2014, 19:13
Сообщение
#5
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10033 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
Да, всё это, конечно, так Но вот конкретно по этому случаю... Чтобы найти уязвимость, о которой никто не знает, надо быть достаточно серьёзным хакером. Это ведь совсем не то же самое, что готовые эксплоиты юзать, чем всякие недозрелые "хакеры" балуются Думаю, если кто-то всё же нашёл эту уязвимость и решил на этом нажиться, то он, скорее всего, решил бы ограбить кого-нибудь достаточно богатого, а не кого попало (или похитить действительно важную информацию, а не какую попало). Но это, конечно, чисто теоретические рассуждения
-------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
Текстовая версия | Сейчас: 25.4.2024, 10:32 | |