Kritická zranitelnost OpenSSL

Kritická zranitelnost OpenSSL

Open source implementace protokolu TLS OpenSSL trpí vážnou zranitelností. Problém spočívá v rozšíření nazvaném Heartbeat, které bylo do OpenSSL verze 1.0.1 implementováno v roce 2011. Toto rozšíření umožňuje klientovi a serveru zůstat ve spojení prostřednictvím TLS aniž by bylo vždy nutné si vyměňovat složitý handshake.

Jeho implementace v OpenSSL ale umožňovala útočníkovi přečíst 64kB paměti serveru i klienta a dostat se tak k citlivým údajům jako jsou soukromé klíče, přihlašovací údaje, session cookies i obsah komunikace aniž by byla jakákoli možnost takový útok detekovat. I když byla tato zranitelnost opravena v nyní vydané verzi OpenSSL 1.0.1g, je možné, že řada soukromých klíčů nebo přihlašovacích údajů byla už kompromitována. Administrátorům služeb využívajících OpenSSL se doporučuje ihned aktualizovat na poslední verzi, případně znovu zkompilovat současnou verzi s vypnutým rozšířením Heartbeat. V případě podezření na zneužití zranitelnosti ale bude nutné podniknout rozsáhlejší kroky spočívající ve změně klíčů a přihlašovacích údajů.

Sdílet článek:

Novinky eABM

Novinky nejen ze světa IT
Václav Dobiáš | 13. říjen 2019

Jednou z našich základních činností je zabezpečení počítačových sítí, počítačů, dat a informačních systémů. Tato zabezpečení provádíme pomocí vysoce sofistikovaných technologií, které vyžadují odborné znalosti. Dnes si ale ukážeme jak si i běžný uživatel může zkontrolovat zda bylo jeho heslo zneužito. 

Pavel Vráblík | 6. říjen 2019

Na přelomu roku skončí platnost pokladních certifikátů, které byly vydány se zavedením elektronické evidence tržeb v roce 2016. Takových certifikátů vyprší v listopadu 2019 zhruba 52 000, v únoru 2020 pak až 112 000. Pokud výměnu neplatného (expirovaného) certifikátu neprovedete, vystavujete se sankcím za nefunkční evidenci tržeb.

Václav Dobiáš | 30. září 2019

Pamatovat si všechna svá hesla do různých webů je náročné a uživatelé tak raději volí jedno heslo pro více webů čímž se vystavují nejedné hrozbě. Společnost Mozilla proto vytvořila správce hesel přímo integrovaného do prohlížeče Firefox.