Вразливість в OpenSSL [Heartbeat Extension] [CVE-2014-0160]

17/04/2014

1. Загальна інформація

Heartbeat Extension [RFC6520] – розширення для протоколів TLS/DTLS, що забезпечує реалізацію:

  • функціоналу «keep-alive» (підтримки з’єднання) замість застосування техніки «перевстановлення» з’єднання (renegotiation);
  • процедури визначення розміру MTU (для Datagram TLS).

Вразливість полягає у некоректності перевірки даних, які передаються у запиті/відповіді Heartbeat, що призводить до аномалії (buffer over-read), в результаті чого з’являється можливість читати дані поза межами пам’яті, встановленої розміром буферу.

На думку експертів, до оприлюднення ця вразливість могла бути відома та використовувалась у зловмисних цілях близько двох років.

 

2. Можливий негативний вплив

Порушення конфіденційності інформації (автентифікаційних даних, сертифікатів тощо) шляхом віддаленої експлуатації зазначеної вразливості за допомогою наявних у відкритому доступі програм (експлойтів).

 

3. Рекомендації

З метою ліквідації вразливості рекомендуємо:

  • вжити заходів з оновлення програмного забезпечення OpenSSL до актуальної версії (https://www.openssl.org/source/);
  • за неможливості застосування оновлення у стислі терміни також рекомендовано вжити заходів з рекомпіляції OpenSSL, тимчасово деактивувавши опцію Heartbeat (ключ: -DOPENSSL_NO_HEARTBEATS);
  • з метою мінімізації загрози можливої компрометації автентифікаційних даних (які оброблялися на засобах (у системах) із вразливим OpenSSL), наголошуємо на необхідності їх термінової зміни;
  • факт наявності/відсутності вразливості можливо перевірити за посиланням. Для зручності цей функціонал було імплементовано у веб-сторінку cert.gov.ua.

 

Інформація, яка наявна у CERT-UA щодо IP-адрес вразливих засобів обчислювальної техніки буде доведена до відповідних провайдерів/операторів в рамках додаткового інформування.