„Katastrofická“ chyba v OpenSSL ohrozuje dve tretiny všetkých webových serverov. Skontrolujte ten váš.

Projekt OpenSSL zverejnil informáciu o kritickej bezpečnostnej chybe v protokole, ktorá by mohla vystaviť ohrozeniu kryptografické kľúče a súkromnú komunikáciu na niektorých z najdôležitejších webových lokalít a internetových služieb. Všetci prevádzkovatelia serverov s OpenSSL 1.0.1 až po 1.0.1f (verzie vydané od marca 2012) musia okamžite aktualizovať na OpenSSL 1.0.1g. Zraniteľnosť sa týka aj beta verzie OpenSSL 1.0.2. Chyba sa nachádza v implementácii rozšírenia Heartbeat, ktoré umožňuje jednej strane komunikácie SSL zaslať správu na potvrdenie funkčnosti spojenia, na ktorú druhá strana odpovedá svojou správou. Bezpečnostná chyba umožňovala útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu spojenia SSL ľubovoľných 64 kB dát. Opakovaním útoku môže útočník získať hoci aj celú pamäť napr. servera poskytujúceho zabezpečené stránky HTTPS. Chybu nezávisle od seba objavili bezpečnostná firma Codenomicon a bezpečnostný inžinier Googlu Neel Mehta. Podrobné vysvet ...