Nopietna OpenSSL ievainojamība, kas dod piekļuvi aizsargātām atslēgām

Atvērtā pirmkoda kriptogrāfiskajā programmatūrā OpenSSL konstatēta viena no nopietnākajām ievainojamībām projekta pastāvēšanas vēsturē. Ievainojamība rada potenciālus draudus milzīgam skaitam interneta vietņu, kurās datu apmaiņas nodrošināšanai šifrētā veidā izmantots OpenSSL 1.0.1. Problēmas būtība – iespējams iegūt piekļuvi 64 kb klienta datora vai servera atmiņas segmentam. Teorētiski šajā sistēmas atmiņas apgabalā var atrasties šifrētā savienojuma aizsargātās atslēgas vai paroles, kuras var izmantot uzbrucējs. Veiksmīga uzbrukuma gadījumā ļaundaris var iegūt šifrētās atslēgas, kas nodrošina datu apmaiņas procesa šifrēšanu un veikt datu plūsmas pārtveršanu. Tāpat nav izslēgta iespēja iegūt paroles, sesiju identifikatorus un citus aizsargātos klienta datus.

Problēmas cēlonis – netiek pilnībā pārbaudīta TLS moduļa heartbeat (RFC 6520) darbība, kas kļūdas pēc attālinātam klientam var nosūtīt 64 kilobaitus papildus datu, kam nevajadzētu būt pieejamiem konkrētās datu apmaiņas sesijas laikā. Pie tam pastāv iespēja iegūt 64 kilobaitus jebkuru datu (veicot atkārtotus pieprasījumus, uzbrucējs pakāpeniski var nolasīt visu sistēmas atmiņas saturu). Saskaņā ar dažiem aprēķiniem šī drošības problēma skar gandrīz pusi interneta vietņu, tai skaitā e-pasta serverus, VPN sistēmas, XMPP serverus, slūžas (proxy), kā arī anonīmā tīmekļa Tor servisus.

Drošības problēmas konstatētas tikai OpenSSL 1.0.1 versijā un testa versijā ar kodu 1.0.2, iepriekšējās versijas ar kodiem 0.9.x un 1.0.0x neesot apdraudētas.

Tīmeklī jau sākuši parādīties funkcionējoši ļaunprātīgu programmu prototipi (heartattack.py, ssltest.py) šīs ievainojamības izmantošanai. To parādīšanās izprovocējusi kiberuzbrukumu vilni, piemēram, Yahoo Mail lietotāji konstatējuši iespēju izmantot šo ievainojamību, lai iegūtu citu lietotāju paroles (pašreiz Yahoo Mail drošības problēmas esot novērstas).