openssl-logo

Този понеделник (7-ми април) беше разкрит бъг в софтуера за имплементация на криптиращи протоколи OpenSSL. Опасната дупка в сигурността беше открита от специалисти от Google и компанията за софтуерна сигурност Codenomicon.

OpenSSL е най-популярната библиотека с отворен код за имплементация на SSL и TLS криптиращите протоколи. Използва се в повече от 66 процента от всички уебсайтове в интернет пространството, като се инсталира по подразбиране с уебсървърите Apache и nginx, както и с операционни системи с отворен код Debian, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD, OpenSUSE и т.н. Когато използвате https:// протокола, вашата връзка минава през тази библиотека.

Бъгът, официално заведен като CVE-2014-0160 и станал известен като „Heartbleed“, засяга версии на OpenSSL от 1.0.1 до 1.0.1f, основно за операционни системи, никоя от които не се използва на сървърите за споделен хостинг на Host.bg.

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

На теория, дупката в сигурността позволява да се разкрият до 64 KB информация за клиента и/или сървъра и/или частния ключ на SSL сертификата. Възползването от уязвимостта не оставя следи в сървърните логове и не се отразява по друг начин на работата на приложенията.

Сървърите на Host.bg също използват OpenSSL – без паника. В допълнение към собствената компилация на операционна система, различна от уязвимите, на сървърите допълнително е инсталиран пач за проблема. Сигурността на всички сървъри за споделен хостинг и за мейл услугите се наблюдава постоянно от нашите специалисти, които тестват продължително всеки софтуер преди той да бъде допуснат за употреба на сървърите ни. Можете да бъдете спокойни за сигурността на вашата информация.

Повече информация за дупката в сигурността, можете да прочетете на официалната страница:
https://heartbleed.com/


Етикети: