08.04.2014 | 09:34

Adam Haertle

Krytyczny błąd w OpenSSL

Od wczoraj nie mówi się o niczym innym, jak o najnowszym błędzie w OpenSSL. Umożliwia on odczytywanie z pamięci serwera krytycznych danych – np. kluczy prywatnych serwera lub danych przesyłanych przez użytkowników zaszyfrowanym kanałem.

Jeśli jeszcze nie załataliście, to biegnijcie łatać – i w przypadku, gdy przetwarzacie poufne dane, wymieniać klucze SSL. A jeśli najgorsze już za Wami, to poniżej zbiór miejsc, gdzie warto zajrzeć, by przeczytać coś więcej.

  1. Skrócony opis po polsku autorstwa Bad Sectora.
  2. Podstawowe źródło informacji autorstwa odkrywców błędu – wyczerpujący opis problemu.
  3. Dokładny opis techniczny kodu, który powodował błąd.
  4. Diff kodu przed łatą i po.
  5. Komunikat OpenSSL na temat błędu.
  6. Wpływ błędu na użytkowników sieci Tor.
  7. Jeszcze kilka godzin temu podatne były AWS, Cloudfront, Github…
  8. Kod umożliwiający weryfikację podatności.
  9. Cloudflare chwali się, że błąd załatało już kilka dni temu.

W sieci jest tez już strona umożliwiająca testowanie podatności – wg jej wyników np. poczta.interia.pl jest jeszcze podatna (ok. godz. 10 witryna zwraca już informację, że serwer Interii nie jest podatny).

Dostępna jest też druga strona umożliwiająca zdalną weryfikacje podatności (i jeszcze trzecia). Na razie nie mamy gwarancji, że na którejś z nich nie ma błędów typu false positive.

Podatność w serwisie Interii

Podatność w serwisie Interii

Powrót

Komentarze

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Krytyczny błąd w OpenSSL

Komentarze