Критическая уязвимость в пакете OpenSSL поставила под угрозу большинство серверов в мире

9 апреля 2014 года

В понедельник вечером разработчики популярного криптографического пакета OpenSSL, предназначенного для защиты и сертификации данных, сообщили (Архивная копия от 8 апреля 2014 на Wayback Machine) об устранении серьезной ошибки, возникшей в последних релизах пакета.

Обнаруженная уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации "защищены" уязвимой версией OpenSSL, пишет один из пользователей сайта "Хабрахабр". В том числе злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде.

Первая версия пакета OpenSSL, содержащая в себе эту критическую ошибку, была выпущена в марте 2012 года. Таким образом, не исключено, что некие злоумышленники могли иметь доступ к зашифрованному трафику в интернете в течение двух лет, не оставляя при этом никаких следов несанкционированного проникновения, отмечается в статье, опубликованной в газете The Washington Post, обзор которой приводит портал InoPressa.

Ошибку нашли специалисты по информационной безопасности из компании Codenomicon, а также один из сотрудников подразделения Google Security. Именно он сообщил разработчикам OpenSSL о необходимости срочно исправить код.

Из-за созвучия названия расширения Heartbeat, обнаруженную ошибку окрестили HeartBleed (кровоточащее сердце) и даже открыли одноименный сайт, содержащий подробное описание уязвимости.

По оценке издания ArsTechnica, критическая уязвимость в OpenSSL затронула в общей сложности более двух третей сайтов в мире.