В OpenSSL нашлась еще одна серьезная уязвимость

6 июня 2014 года

В пакете OpenSSL обнаружили еще одну серьезную уязвимость, угрожающую безопасности абсолютно всех серверов, на которых установлен этот программный пакет, передает агентство Reuters. Подробности об обнаруженной уязвимости опубликованы в официальном сообщении организации OpenSSL Foundation.

Ошибку в программном коде смог обнаружить японский программист Масаси Кикути, который подробно написал о ней в своем блоге. Он сообщил, что решил внимательно изучить код OpenSSL после обнаружения уязвимости Heartbleed в апреле этого года.

Кикути отметил, что обнаруженная им уязвимость позволяет знающим о ней хакерам принудительно менять политику шифрования двух пользователей (или пользователя и сервера) OpenSSL. После вмешательства библиотека начинает использовать ненадежные ключи для шифрования данных. Если поток этих данных удастся перехватить, то злоумышленник может впоследствии расшифровать всю переданную информацию.

Японский программист обратил внимание на тот факт, что найденная уязвимость существовала 16 лет и ее не обнаружили раньше потому, что исходный код пакета OpenSSL не проходит соответствующую проверку перед выпуском.

Эксперты в сфере информационной безопасности хоть и отметили, что обнаруженная уязвимость представляет в целом меньшую угрозу, чем Heartbleed, но порекомендовали всем пользователям OpenSSL как можно скорее установить обновленные версии, в которых ошибка была исправлена.

Напомним, что о наличии уязвимости Heartbleed в пакете OpenSSL, предназначенном для защиты и сертификации данных, стало известно 7 апреля, когда разработчики сообщили об устранении ошибки, существовавшей с марта 2012 года. Обнаруженная ошибка была связана с отсутствием необходимой проверки длины запроса в одной из процедур расширения Heartbeat. Из-за этого любой злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, чьи коммуникации были защищены уязвимой версией OpenSSL.

Позднее немецкий программист Робин Зеггельман, который и добавил в пакет OpenSSL критическую уязвимость Heartbleed, дал интервью, в котором заявил, что сделал это непреднамеренно. Он подчеркнул, что ошибка оказалась в коде случайно. Ее не заметил также и специалист, проверявший работу Зеггельмана, в результате чего погрешность не была удалена из финальной версии очередного релиза OpenSSL.

Эксперты признали ошибку чрезвычайно серьезной. Выяснилось, что теоретически проблема безопасности могла коснуться 65% всех серверов в мире. От уязвимости могли пострадать по меньшей мере 200 тысяч российских владельцев банковских карт, которые приобретали билеты на сайте РЖД с 7 по 14 апреля.

В конце апреля стало известно, что ряд крупных компаний, в том числе Google, Microsoft и Facebook, объединят свои усилия, чтобы обезопасить ПО с открытым исходным кодом от критических ошибок, дабы избежать повторения ситуации с Heartbleed. Судя по всему, их усилия пока не увенчались успехом.