Personal tools

Main Page

From Ufa FreeBSD

Jump to: navigation, search
подпись
Если бы в обязанности админа реально входило обучение пользователей, то на айтишные специальности учили бы в педагогическом.

Новости

Актуальное

Уязвимость CVE-2014-0160 (OpenSSL)

The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug.

Уязвимость CVE-2014-0160, о которой стало официально известно 7 апреля, затрагивает последние релизы OpenSSL: стабильную 1.0.1 и бету 1.0.2-beta, которые, в частности, используются в актуальных версиях дистрибутивов GNU/Linux и других UNIX-подобных систем (например, Ubuntu 12.04 и 13.10, Fedora 18, CentOS 6.5, FreeBSD 8.4). Проблема в обработке памяти в расширении TLS heartbeat приводит к возможности получить данные, хранимые в OpenSSL, что несет серьезную угрозу конфиденциальности информации, передаваемой по зашифрованному каналу.

Проблему обнаружил Нил Мехта (Neel Mehta) из Google. Исправление уже доступно пользователям OpenSSL 1.0.1 в релизе 1.0.1g, а для бета-версии 1.0.2-beta будет представлено в 1.0.2-beta2. Всем пользователям OpenSSL 1.0.1 рекомендуется срочно обновиться до актуальной версии. Поставщики крупных Linux-дистрибутивов и других систем, использующих OpenSSL, уже выпустили соответствующие обновления.


Проверить ваш HTTS сервис на наличие данной уязвимости можно с помощью online тулз:


Есть две ветки: - Stable - Current (другое название HEAD) Теперь про RELEASE и RELENG: - есть Release-X.Y.Z и для него RELENG-X.Y, где RELENG есть bug-fix и security patches для соответствующего RELEASE.
комментарии поддерживаются Disqus