У понеділок, 7 квітня, у популярній криптографічній бібліотеці OpenSSL, яка широко використовується з додатками та веб-серверами, була виявлена велика вразливість, відома як «Heartbleed». Таким чином, сайти та служби в Інтернеті зайняті усуненням цієї вразливості та оновленням сертифікатів SSL, щоб захистити своїх клієнтів. Як було сказано, OpenSSL версії 1.0.1–1.0.1f (включно) є вразливими, а OpenSSL 1.0.1g, випущений 7 квітня 2014 року, виправляє цю помилку.
Уривок із Heartbleed.com говорить,
Heartbleed Bug є серйозною вразливістю в популярній бібліотеці криптографічного програмного забезпечення OpenSSL. Ця слабкість дозволяє викрасти інформацію, захищену, за звичайних умов, за допомогою шифрування SSL/TLS, що використовується для захисту Інтернету. SSL/TLS забезпечує безпеку зв'язку та конфіденційність через Інтернет для таких програм, як Інтернет, електронна пошта, обмін миттєвими повідомленнями (IM) і деякі віртуальні приватні мережі (VPN).
Помилка Heartbleed дозволяє будь-кому в Інтернеті читати пам'ять систем, захищених уразливими версіями програмного забезпечення OpenSSL. Це дозволяє зловмисникам підслуховувати комунікації, красти дані безпосередньо у служб і користувачів і видавати себе за служби та користувачів.
Перевірте, чи на ваш сайт або телефон Android впливає помилка Heartbleed –
Є деякі служби, які можуть дізнатися, чи був сайт, якому ви довірили свою інформацію, чи все ще залишається вразливим, і коли його сертифікат оновлювався.
Тест Heartbleed Філіппо Вальсорди – filippo.io/Heartbleed
Введіть URL-адресу або ім’я хоста, щоб перевірити свій сервер на наявність Heartbleed (CVE-2014-0160). Ви можете вказати такий порт example.com:4433. 443 за замовчуванням.
Перевірка LastPass Heartbleed – lastpass.com/heartbleed
Перевірте, чи сайт уразливий до Heartbleed. Він показує серверне програмне забезпечення сайту, повідомляє, чи було воно вразливим, чи SSL-сертифікат тепер безпечний і коли востаннє створювався.
Chromebleed (розширення Google Chrome)
Відображає попередження, якщо на веб-сайт, який ви переглядаєте, впливає помилка Heartbleed. Він перевіряє URL-адресу сторінки за допомогою служби Filippo. Корисно, якщо ви не хочете перевіряти сайти вручну.
Mashable склав цікавий список відомих сайтів із зазначенням їх поточного статусу, а також про те, чи були вони вражені та чи варто змінювати свій пароль.
Heartbleed Detector для Android –
Користувачі Android можуть легко перевірити, чи їх пристрій Android уразливий до помилки HeartBleed, за допомогою безкоштовної програми під назвою «Heartbleed Detector» від Lookout Mobile Security. Програма визначає, яку версію OpenSSL використовує ваш пристрій. Якщо на вашому пристрої працює одна з уражених версій OpenSSL, він перевіряє, чи ввімкнено конкретну вразливу поведінку.
Однак, якщо ваш пристрій уразливий, ви не можете робити необхідних заходів, якщо Google або виробник вашого пристрою не випустив виправлення.
Теги: AndroidSecurity