В понедельник, 7 апреля, в популярной криптографической библиотеке OpenSSL, которая широко используется в приложениях и веб-серверах, была обнаружена серьезная уязвимость, известная как Heartbleed. Таким образом, сайты и службы в Интернете заняты исправлением этой уязвимости и обновлением сертификатов SSL для защиты своих клиентов. Как уже говорилось, OpenSSL v1.0.1 - 1.0.1f (включительно) уязвимы, и OpenSSL 1.0.1g, выпущенный 7 апреля 2014 года, исправляет эту ошибку.
Отрывок из Heartbleed.com говорит:,
Heartbleed Bug - серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OpenSSL. Этот недостаток позволяет украсть информацию, защищенную в нормальных условиях шифрованием SSL / TLS, используемым для защиты Интернета. SSL / TLS обеспечивает безопасность и конфиденциальность связи через Интернет для таких приложений, как Интернет, электронная почта, обмен мгновенными сообщениями (IM) и некоторые виртуальные частные сети (VPN).
Ошибка Heartbleed позволяет любому пользователю Интернета читать память систем, защищенных уязвимыми версиями программного обеспечения OpenSSL. Это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у сервисов и пользователей и выдавать себя за сервисы и пользователей.
Проверьте, не подвержен ли ваш сайт или телефон Android баг Heartbleed –
Есть несколько сервисов, которые могут сказать вам, был ли сайт, которому вы доверили свою информацию, уязвимым, и когда его сертификат был обновлен.
Тест Heartbleed Филиппо Валсорды - filippo.io/Heartbleed
Введите URL-адрес или имя хоста для проверки вашего сервера на Heartbleed (CVE-2014-0160). Вы можете указать такой порт example.com:4433
. 443 по умолчанию.
Проверка LastPass Heartbleed - lastpass.com/heartbleed
Посмотрите, уязвим ли сайт для Heartbleed. Он показывает серверное программное обеспечение сайта, сообщает, было ли оно уязвимым, безопасны ли сертификаты SSL и когда они были созданы в последний раз.
Chromebleed (расширение Google Chrome)
Отображает предупреждение, если на просматриваемом вами сайте обнаружена ошибка Heartbleed. Он проверяет URL-адрес страницы с помощью службы Filippo. Полезно, если вы не хотите проверять сайты вручную.
Mashable составил интересный список хорошо известных сайтов с указанием их текущего статуса, а также того, были ли они затронуты и следует ли вам менять свой пароль.
Детектор Heartbleed для Android -
Пользователи Android могут легко проверить, уязвимо ли их устройство Android для ошибки HeartBleed, с помощью бесплатного приложения Heartbleed Detector от Lookout Mobile Security. Приложение определяет, какую версию OpenSSL использует ваше устройство. Если на вашем устройстве запущена одна из уязвимых версий OpenSSL, оно затем проверяет, включено ли конкретное уязвимое поведение.
Однако, если ваше устройство уязвимо, вы не можете предпринять никаких необходимых действий, если только Google или производитель вашего устройства не выпустили патч.
Теги: AndroidSecurity