Hirdetés

Titkosítási katasztrófa az interneten

|

A webszerverek 66 százaléka került veszélybe.

A biztonsági teszteléssel foglalkozó Codenomicon illetékesei kedden jelentették be, hogy rendkívül súlyos biztonsági rés tátong a széles körben használt OpenSSL kriptográfiai szoftvercsomag 1.0.1[a-f] verzióiban. Az OpenSSL többek közt az Apache és nginx webszerverek és a klienseik közötti kommunikáció SSL/TLS titkosításáért felel.

Hirdetés

A hiba (a kutatók „Heartbleed”-nek nevezték el) lehetővé teszi, hogy az OpenSSL érintett verzióit futtató szerverek memóriájából a támadók érzékeny adatokat olvassanak ki (például bejelentkezéskor elküldött felhasználói neveket és jelszavakat), egyes esetekben pedig akár a kiszolgáló privát kulcsát is ellophatják. Utóbbi birtokában minden további nélkül megszemélyesíthetik magát a webszervert. Az OpenSSL sebezhető verziói az elmúlt két évben voltak elérhetőek, maga a szoftver a kiszolgálók cca. 66 százalékán fut.

A helyzetet súlyosbítja, hogy a támadás semmiféle nyomot nem hagy a szerverek naplóállományaiban, így nehéz felmérni, hogy ért-e támadás egy-egy adott kiszolgálót.

Szerencsére a sérülékenységet már befoltozták a szakemberek. Ettől függetlenül a titkosított kommunikációt kínáló webhelyek tulajdonosai a biztonság kedvéért jobban teszik, ha lecserélik a privát kulcsaikat.

(Forrás: Ars Technika, Hearthbleed blog)

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.