Важное объявление по уязвимости OpenSSL: CVE-2014-0160 (Heartbleed)
Уязвимость OpenSSL была обнаружена в пакетах проверки активности связи, известных как heartbeat, на уровне протоколов TLS (Transport Layer Security) и DTLS (Datagram Transport Layer Security). Ей было присвоено название Heartbleed.
Уязвимость заключается в том, что злоумышленник может подделать пакет heartbeat так, чтобы в ответ от подключенного сервера или клиента получить часть содержимого его оперативной памяти. Полученные таким образом данные могут содержать конфиденциальную информацию — пароли, частные ключи и т.п. (CVE-2014-0160)
Эта ошибка не затронула старые версии OpenSSL в Red Hat Enterprise Linux 5, Red Hat Enterprise Linux 6.4 и в предшествующих им выпусках, но подвергла риску продукты с OpenSSL 1.0.1e, а именно: Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 и Red Hat Storage 2.1e.
- Информацию о защите Red Hat Enterprise Linux можно найти по адресу https://access.redhat.com/site/solutions/781793.
- Информацию о защите Red Hat Enterprise Virtualization Hypervisor можно найти по адресу https://access.redhat.com/site/solutions/781843.
- Информацию о защите Red Hat Storage можно найти по адресу https://access.redhat.com/site/solutions/782053.
После обновления систем можно проверить их защиту на странице определения Heartbleed. Red Hat настоятельно рекомендует осуществить замену ключей SSL, так как сообщество изучения уязвимостей сообщает о возможном хищении ключей в подвергшихся атаке системах. Статья о защите систем от Heartbleed содержит подробную информацию.
Журнал обновлений
Полный список обновлений приведен в английской версии этого документа.
Объявление об уязвимости сайта Red Hat
7 апреля 2014 года проект OpenSSL объявил о критической ошибке, которая была идентифицирована как CVE-2014-0160 (Heartbleed).
Red Hat серьезно относится к обеспечению безопасности своих клиентов. Сайты Red Hat не полагались на уязвимую библиотеку OpenSSL при передаче данных по SSL/TLS и, как следствие, не пострадали от Heartbleed.
- www.redhat.com
- access.redhat.com (портал пользователей Red Hat)
- rhn.redhat.com (Red Hat Network)