Уязвимость Heartbleed bug

Связанная ошибка

"Данный сервер уязвим для атаки Heartbleed. Обновите до последней версии OpenSSL, замените сертификат на своем веб-сервере или устройстве и сбросьте пароли конечных пользователей, которые могли быть видны в скомпрометированной памяти сервера."

Проблема

Ошибка Heartbleed находится в расширении пульсаций криптографической библиотеки OpenSSL. Криптографические библиотеки в версиях OpenSSL 1.0.1 – 1.1.1f и 1.0.2-beta1 уязвимы для атаки Heartbleed Bug. Уязвимость Heartbleed Bug — это уязвимость криптографической библиотеки OpenSSL, которая позволяет злоумышленнику получить доступ к конфиденциальной информации, которая обычно защищена протоколами SSL и TLS.

OpenSSL — это набор инструментов с открытым исходным кодом, который реализует протоколы Secure Sockets Layer (SSL) и Transport Layer Security (TLS), включая криптографическую библиотеку, которая использует криптографические функции и предоставляет различные служебные функции. Эта криптографическая библиотека обычно реализуется серверами в Интернете для защиты большей части интернет-трафика.

Злоумышленник может использовать атаку Heartbleed Bug, чтобы получить доступ к:

  • Ключам шифрования
    Злоумышленник может использовать эти ключи для расшифровки прошлых и будущих защищенных соединений с вашим сайтом и для совершения действий под видом законного пользователя вашего сайта в любое время.
  • Учетным данным пользователей
    Злоумышленник может использовать имена пользователей и пароли ваших клиентов для доступа к их информации, защищенной вашим веб-сайтом.
  • Защищенному контенту
    Злоумышленник может получить доступ к персональным или финансовым данным, личным сообщениям (электронной почте или мгновенным сообщениям) и документам.
  • Вспомогательным материалам
    Злоумышленник может получить доступ к утекшим данным содержимого памяти, например адресу ячейки памяти и мерам безопасности.

Способ устранения

Установите исправление для ПО

При обеспечении защиты вашей среды от дефекта Heartbleed вам необходимо будет установить исправление OpenSSL на серверах, на которых установлены уязвимые версии OpenSSL, и в программном обеспечении, использующем уязвимые версии библиотеки OpenSSL.

Обновитесь до последней версии OpenSSL (версия 1.0.1g или более поздняя).

  • Серверы
    Проверьте свой диспетчер пакетов на наличие обновленного пакета OpenSSL и установите его. Если у вас нет обновленного пакета OpenSSL, получите последнюю версию OpenSSL у своего поставщика услуг.
  • ПО
    Проверьте наличие исправлений для ПО, выпущенных для устранения уязвимости Heartbleed Bug, и установите их. Если у вас нет исправлений программного обеспечения, обратитесь к поставщику программного обеспечения, чтобы получить последнее исправление и установить его.
    Примечание: Может потребоваться перезапустить программное обеспечение после его исправления, чтобы убедиться, что библиотека OpenSSL сброшена и ошибка Heartbleed удалена из кэшированной памяти.

Может потребоваться перезапустить программное обеспечение после его исправления, чтобы убедиться, что библиотека OpenSSL сброшена и ошибка Heartbleed удалена из кэшированной памяти.

Если вы не можете выполнить обновление до последней версии OpenSSL:

  • Вернитесь к версии OpenSSL 1.0.0 или более ранней.
  • Перекомпилируйте OpenSSL с флагом OPENSSL_NO_HEARTBEATS.

Убедитесь, что уязвимости Heartbleed Bug исправлены

Используйте DigiCert Discovery для повторного сканирования вашей среды, чтобы убедиться в отсутствии уязвимости для атаки Heartbleed Bug.

Повторно создайте ключи, повторно выпустите и установите сертификаты

  • Повторно создайте ключи и повторно выпустите все сертификаты на своих серверах, которые подверглись воздействию.
    При повторном выпуске сертификатов обязательно сгенерируйте новые запросы на подписание сертификатов (CSR). См. Создать запрос на подпись сертификата.
  • Только после установки исправлений на серверах и в программном обеспечении установите повторно выпущенные сертификаты.

Отзыв заменяемых сертификатов

После установки повторно выпущенных сертификатов необходимо отозвать сертификаты, которые были заменены. Чтобы отозвать сертификаты, свяжитесь со своим центром сертификации.

Клиентам DigiCert необходимо обратиться по адресу эл. почты support@digicert.com. Не забудьте указать номер своего заказа на сертификат и краткое описание того, что вы хотите отозвать.

Сброс паролей

Если ваши серверы принимают пароли, ваши клиенты также должны сбросить свои пароли, но только после того, как серверы и программное обеспечение будут исправлены и для сертификатов будут повторно созданы ключи, они будут повторно выпущены, установлены и отозваны.

Если клиенты сбросят свои пароли до того, как будут установлены исправления на серверы и в программное обеспечение и для сертификатов будут повторно созданы ключи, они будут повторно выпущены, установлены и отозваны, то их пароли все еще останутся уязвимыми, и им придется вновь поменять свои пароли.