Важное объявление по уязвимости OpenSSL: CVE-2014-0160 (Heartbleed)

Updated -

Уязвимость OpenSSL была обнаружена в пакетах проверки активности связи, известных как heartbeat, на уровне протоколов TLS (Transport Layer Security) и DTLS (Datagram Transport Layer Security). Ей было присвоено название Heartbleed.

Уязвимость заключается в том, что злоумышленник может подделать пакет heartbeat так, чтобы в ответ от подключенного сервера или клиента получить часть содержимого его оперативной памяти. Полученные таким образом данные могут содержать конфиденциальную информацию — пароли, частные ключи и т.п. (CVE-2014-0160)

Эта ошибка не затронула старые версии OpenSSL в Red Hat Enterprise Linux 5, Red Hat Enterprise Linux 6.4 и в предшествующих им выпусках, но подвергла риску продукты с OpenSSL 1.0.1e, а именно: Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 и Red Hat Storage 2.1e.

После обновления систем можно проверить их защиту на странице определения Heartbleed. Red Hat настоятельно рекомендует осуществить замену ключей SSL, так как сообщество изучения уязвимостей сообщает о возможном хищении ключей в подвергшихся атаке системах. Статья о защите систем от Heartbleed содержит подробную информацию.

Журнал обновлений

Полный список обновлений приведен в английской версии этого документа.

Объявление об уязвимости сайта Red Hat

7 апреля 2014 года проект OpenSSL объявил о критической ошибке, которая была идентифицирована как CVE-2014-0160 (Heartbleed).

Red Hat серьезно относится к обеспечению безопасности своих клиентов. Сайты Red Hat не полагались на уязвимую библиотеку OpenSSL при передаче данных по SSL/TLS и, как следствие, не пострадали от Heartbleed.

  • www.redhat.com
  • access.redhat.com (портал пользователей Red Hat)
  • rhn.redhat.com (Red Hat Network)
  • Product
  • Red Hat Customer Portal