В OpenSSL 1.0.1 обнаружена критическая уязвимость CVE-2014-0160

В последнем релизе популярной свободной реализации протоколов SSL/TLS — OpenSSL — обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации.

Уязвимость CVE-2014-0160, о которой стало официально известно 7 апреля, затрагивает последние релизы OpenSSL: стабильную 1.0.1 и бету 1.0.2-beta, которые, в частности, используются в актуальных версиях дистрибутивов GNU/Linux и других UNIX-подобных систем (например, Ubuntu 12.04 и 13.10, Fedora 18, CentOS 6.5, FreeBSD 8.4). Проблема в обработке памяти в расширении TLS heartbeat приводит к возможности получить данные, хранимые в OpenSSL, что несет серьезную угрозу конфиденциальности информации, передаваемой по зашифрованному каналу.

Логотип OpenSSL / Иллюстрация с сайта Blog.Bit9.Com

Проблему обнаружил Нил Мехта (Neel Mehta) из Google. Исправление уже доступно пользователям OpenSSL 1.0.1 в релизе 1.0.1g, а для бета-версии 1.0.2-beta будет представлено в 1.0.2-beta2. Всем пользователям OpenSSL 1.0.1 рекомендуется срочно обновиться до актуальной версии. Поставщики крупных Linux-дистрибутивов и других систем, использующих OpenSSL, уже выпустили соответствующие обновления.

Автор: Дмитрий Шурупов по материалам openssl.org, Ubuntu.com.