Je to jeden z nejzávažnějších odhalených problémů v zabezpečení internetových služeb. Chyba umožňuje útočníkům bez omezení číst údaje zašifrované přes SSL/TSL – včetně například privátních klíčů a dalších dat.
Bug se v kódu knihovny OpenSSL nachází už dva roky – dostal se do ní v prosinci 2011 a rozšířil se s verzí 1.01, která byla vydána 14. března 2012. Na problém teď upozornil tým vývojářů z firmy Codenomicon a Neel Mehta z Google Security.
O chybě s referenčním názvem CVE-2014–0160 se píše jako o tzv. Heartbleed Bug. Problém se vyskytuje jen v některých verzích OpenSSL a dobrá zpráva je, že světlo světa už spatřila opravená verze knihovny OpenSSL 1.0.1g. Opravné patche také postupně uvolňují výrobci jednotlivých linuxových distribucí.
Chybou mohly být podle některých odhadů ohroženy až dvě třetiny internetových služeb. Opensourcovou knihovnu OpenSSL totiž využívají nejpoužívanější servery Apache nebo nginx, které mají asi dvoutřetinové zastoupení na trhu.
OpenSSL se používá také k zabezpečení e-mailových služeb (SMTP, POP3, IMAP), virtuálních privátních sítí (VPN) nebo například k zašifrování přenosů dat při přihlašování ke službám, při bankovních operacích nebo platbách kreditními kartami (HTTPS).
Zdroj: Heartbleed.com
ČLÁNKY DO MAILU