Czy krwawi wam serce?

7 kwietnia 2014 roku opublikowany został biuletyn bezpieczeństwa CVE-2014-0160 dotyczący krytycznego błędu znajdującego się w implementacji biblioteki openssl odpowiedzialnej za protokoły SSL.

Błąd jest na tyle krytyczny, iż jak dowiedziono doświadczalnie, pozwala na kradzież kluczy prywatnych, ciastek dla sesji użytkownika jak i również haseł.

Według teorii spiskowych luka ta była znana i wykorzystywana przez agencję NSA, ale teorii tej nigdy nie zweryfikujemy.

Poprawka openssl ukazała się bardzo szybko we wszystkich większych dystrybucjach, tak więc zalecam jak najszybszą aktualizację, zwłaszcza jeśli używane są usługi serverowe dostępne z zewnątrz.

W openSUSE, poprawka dla wersji 13.1 oraz 12.2 ukazała się 8 kwietnia.

wto, 8 kwi 2014, 14:00:00
shchang@suse.com
 

– Fixed bug[ bnc#872299] CVE-2014-0160: openssl: missing bounds checks for heartbeat messages Add file: CVE-2014-0160.patch

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.