- PVSM.RU - https://www.pvsm.ru -
О Heartbleed уязвимости, которая присутствует в компоненте «heartbeat» некоторых версий OpenSSL, написано уже достаточно подробно. Основная ее особенность заключается в том, что атакующий может прочитать определенный диапазон адресов памяти (длиной 64KB) в процессе на сервере, который использует эту библиотеку. Используя эту уязвимость злоумышленники путем отправки специальным образом сформированного запроса могут:
Злоумышленники могут скомпрометировать HTTPS и позднее (через известную атаку типа MitM [1]), имея у себя на руках закрытый SSL/TLS-ключ (представиться сервером).
В качестве примера успешной эксплуатации можно привести Yahoo, которая была подвержена этой уязвимости. С использованием Heartbleed можно было быстро получить доступ к логинам и паролям пользователей в открытом виде. [уязвимость исправлена и сертификат для HTTPS был перевыпущен].
Мы советуем пользователям:
Администраторам:
Автор: esetnod32
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/news/58665
Ссылки в тексте:
[1] MitM: http://en.wikipedia.org/wiki/Man-in-the-browser
[2] Источник: http://habrahabr.ru/post/218907/
Нажмите здесь для печати.