A biztonsági teszteléssel foglalkozó Codenomicon illetékesei kedden jelentették be, hogy rendkívül súlyos biztonsági rés tátong a széles körben használt OpenSSL kriptográfiai szoftvercsomag 1.0.1[a-f] verzióiban. Az OpenSSL többek közt az Apache és nginx webszerverek és a klienseik közötti kommunikáció SSL/TLS titkosításáért felel.
A hiba (a kutatók „Heartbleed”-nek nevezték el) lehetővé teszi, hogy az OpenSSL érintett verzióit futtató szerverek memóriájából a támadók érzékeny adatokat olvassanak ki (például bejelentkezéskor elküldött felhasználói neveket és jelszavakat), egyes esetekben pedig akár a kiszolgáló privát kulcsát is ellophatják. Utóbbi birtokában minden további nélkül megszemélyesíthetik magát a webszervert. Az OpenSSL sebezhető verziói az elmúlt két évben voltak elérhetőek, maga a szoftver a kiszolgálók cca. 66 százalékán fut.
A helyzetet súlyosbítja, hogy a támadás semmiféle nyomot nem hagy a szerverek naplóállományaiban, így nehéz felmérni, hogy ért-e támadás egy-egy adott kiszolgálót.
Szerencsére a sérülékenységet már befoltozták a szakemberek. Ettől függetlenül a titkosított kommunikációt kínáló webhelyek tulajdonosai a biztonság kedvéért jobban teszik, ha lecserélik a privát kulcsaikat.
(Forrás: Ars Technika, Hearthbleed blog)
