Acesso de alto desempenho para armazenamento de arquivos
Sysadmins usando a biblioteca de criptografia OpenSSL tem um trabalho urgente: remendar uma vulnerabilidade de vazamento de memória que poderia revelar os IDs de usuário e senhas.
Apelidado de "Heartbleed", a vulnerabilidade foi descoberta por Neel Mehta da Google Security and anunciado pela CloudFlare.
Como os OpenSSL concisas assessoria afirma: "A falta de limites verificar na manipulação da extensão batimentos cardíacos TLS pode ser usado para revelar até 64k de memória para um cliente ou servidor conectado."
A Q & A postado aqui por Codenomicon afirma que: "Isso compromete as chaves secretas usadas para identificar os prestadores de serviços e para criptografar o tráfego, os nomes e senhas dos usuários e do conteúdo real. Isso permite que atacantes para interceptar comunicações, roubar dados diretamente dos serviços e os usuários e para representar os serviços e usuários. "
Codenomicon observa que o bug foi "in the wild" desde março de 2012. Mais sites conservadores, o Q & A notas, será executado ramos mais antigos como o 1.0.0 ou 0.9.8 que não são vulnerable.es o bug.
A versão fixa é OpenSSL 1.0.1g. Se você está preso com uma versão anterior do OpenSSL, por algum motivo, você pode bloquear a vulnerabilidade re-compilá-lo usando a bandeira OPENSSL_NO_HEARTBEATS. OpenSSL 1.0.2 terá o bug corrigido na próxima versão 1.0.2-beta2. ®
Nenhum comentário:
Postar um comentário