Проблемы с OpenSSL 1.0.1 и 1.0.2-beta : Сеть

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

...
Каков масштаб трагедии?

По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.

Уязвимость была/есть, как минимум, у:
7 банков
2 платежных систем
8 VPN-провайдеров
mail.yandex.ru
mail.yahoo.com


Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа.Клик (интернет-банкинг)...

twix ➤ А это под линем, да? (%

OlegON ➤ Я понимаю, что тебе интересно стало, как меня можно троллить, но не только под линем...

OlegON ➤ Если абстрагироваться от веб-сервера, как площадки для размещения сайтов, то можно вспомнить, куда апачеморду только не засовывают, в том числе и на винде. В общем, на эту тему можно долго читать вот начиная [ с этого ].