Krytyczna luka w OpenSSL - CVE-2014-0160
: 08 kwie 2014, 16:03
Wczoraj, OpenSSL poinformowało o krytycznym będzie (który istnieje od 2 lat(!)).
Istnieje strona weryfikująca podatność strony: http://filippo.io/Heartbleed/
Aby rozwiązać problem ludzie zalecają rekompilację wersji 1.0.1g z flagą -DOPENSSL_NO_HEARTBEATS.
Oczywiście są też takie rozwiązania jak:
Więcej informacji: http://heartbleed.com/
brak tzw. bound checka w obsłudze heartbeatu TLS może powodować ujawnienie 64k pamięci serwera. Na błąd podatne są wersje od 1.0.1 do 1.0.1f oraz 1.0.2-beta wraz z 1.0.2-beta1. —Błąd odkrył Neel Mehta z Google Security.
Istnieje strona weryfikująca podatność strony: http://filippo.io/Heartbleed/
Aby rozwiązać problem ludzie zalecają rekompilację wersji 1.0.1g z flagą -DOPENSSL_NO_HEARTBEATS.
Oczywiście są też takie rozwiązania jak:
- Wymiana certyfikatu SSL
- Zmianę haseł administratora/użytkowników
- Usunięcie tokenów sesji
Więcej informacji: http://heartbleed.com/