Дата статьи 11.04.2014

Уязвимость Heartbleed в библиотеке OpenSSL ставит SSL защиту под угрозу!

Баг Heartbleed (официальное название CVE-2014-0160) – это серьезная уязвимость в открытой криптографической библиотеке OpenSSL, обнаруженная 6 апреля 2014 года. Уязвимость Heartbleed позволяет украсть информацию, защищенную шифрованием SSL/TLS, не оставляя следов для владельца веб-сайта.

Кто подвержен уязвимости Heartbleed?

Уязвимость появилась в OpenSSL в декабре 2011 года и присутствовала начиная с OpenSSL выпуска 1.0.1 от 14 марта 2012. Уязвимость была устранена в OpenSSL последней версии 1.0.1g, выпущенной 7 апреля 2014.


Статус разных версий OpenSSL:
  • OpenSSL 1.0.1 по 1.0.1f (включительно) – эти версии уязвимы
  • OpenSSL 1.0.1g – обновленная версия, избавлена от бага Heartbleed
  • OpenSSL 1.0.0 и 0.9.8 – безопасны
Уязвимые версии OpenSSL находились в обиходе более двух лет и активно применялись в современных операционных системах.

Насколько распространен баг Heartbleed?

Наиболее известные системы, использующие OpenSSL, - это открытые веб-серверы, как Apache и Nginx. По данным исследования Netcraft на их долю приходится более 66% активных веб-сайтов. Кроме того OpenSSL используется для защиты серверов электронной почты (протоколы SMTP, POP и IMAP), серверов для чатов (протокол XMPP), виртуальных закрытых сетей (SSL VPN), а также многочисленных приложений и программного обеспечения.

В чем опасность бага Heartbleed?

В официальном заявлении OpenSSL говорится, что отсутствие проверки границ при использовании расширения TLS Heartbeat (RFC6520) позволяет любому желающему считывать до 64 кб памяти системы, защищенной OpenSSL версий 1.0.1 по 1.0.1f, которые подвержены опасности. 64 кб может показаться незначительным объемом данных, но злоумышленник может присоединятся повторно и собирать все больше и больше информации. В результате проверки команда OpenSSL обнаружила, что секретные ключи, используемые для сертификатов x.509 (SSL сертификатов), логины, пароли и другая конфиденциальная информация пользователей, а также мгновенные сообщения, электронные письма и важная бизнес-документация могут оказаться в руках преступников и послужить для проведения более серьезных атак. Среди уязвимых веб-сайтов оказались такие известные ресурсы, как yahoo.com, flickr.com, majesticseo.com, mail.com, mirtesen.ru, srclick.ru, megaindex.ru, 1c-bitrix.ru, privatbank.ru, topnews.ru. Heartbleed

Как защититься от Heartbleed?

1. Проверьте, использует ли Ваш сайт, приложение или другой ресурс OpenSSL и подвержены ли они атаке. Это можно сделать с помощью следующих сервисов:
2. Обновите OpenSSL до последней версии 1.0.1g, в которой этот дефект устранен. Чаще всего обновление не происходит автоматически. Если у Вас нет возможности обновить OpenSSL, следует отключить функцию Heartbeat в коде -DOPENSSL_NO_HEARTBEATS.

3. Если Ваш сервер оказался в опасности, рекомендуем отозвать SSL сертификат и перевыпустить его с новым приватным ключом. Некоторые центры сертификации предоставляют эту услугу бесплатно, другие взимают дополнительную плату за перевыпуск. Если Вы заказали SSL сертификат у нас, обратитесь в техническую поддержку и мы запросим повторную выдачу SSL сертификата для Вас бесплатно.

4. После обновления и переустановки SSL сертификата предупредите всех пользователей Вашего ресурса, чтобы они сменили свои пароли.


Войти Регистрация
Корзина 0 позиций
на сумму 0 ₽
Связаться со мной
Отправить
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Оформить заказ
Заказать
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Сообщение отправлено!
Спасибо за обращение! Мы свяжемся с Вами в ближайшие рабочие часы
Отправка не удалась
Во время отправки запроса произошла ошибка. Пожалуйста, подождите и попробуйте снова через некоторое время или позвоните на мой номер телефона
Авторизация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Забыли пароль?
\
Регистрация
Восстановление пароля
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
\
Регистрация
Ошибка авторизации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная авторизация
Через 5 секунд страница будет перезагружена и вы сможете войти в свой аккаунт
Ошибка регистрации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная регистрация
Вам на почту должно прийти письмо с ссылкой на подтверждение аккаунта. Пожалуйста перейдите по ней и активируйте свой аккаунт
Ошибка регистрации
Такой пользователь уже существует. Пожалуйста, проверьте корректность данных.
Регистрация
Ошибка восстановления пароля
Пожалуйста, проверьте корректность email.
Успех
Ваш новый пароль был выслан вам на email
Регистрация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
Создать тикет
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Свяжитесь с нами
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Сообщение отправлено!
Ваше сообщение получено. Наш менеджер свяжется с вами в ближайшие рабочие часы
Проверка DNS валидации
Скачать файл валидации
Для валидации домена разместите скачанный текстовый файл в указанную директорию на Вашем сервере:
Выберите подходящий вариант

К сожалению, выбранный сертификат от данного центра сертификации не может быть выдан. Так как ЦС приостановил выпуск новых/продление заказов для доменов в зоне .ru, .рф, .by, .su, .moscow и для сертификатов с OV, EV проверкой, где фигурирует компания из России.

Пожалуйста рассмотрите возможность выпуска сертификатов от AlphaSSL или Globalsign.