Heartbleed

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj
Logo Heartbleed

Heartbleed - błąd bezpieczeństwa w popularnej bibliotece kryptograficznej OpenSSL, zaliczany do grupy błędów implementacyjnych, pozwalający na odczyt przez atakującego danych, chronionych przez szyfrowanie SSL i TLS.

Luka ta pozwala na nieautoryzowany odczyt pamięci systemów zabezpieczonych podatnymi wersjami biblioteki. Wyciek danych może nastąpić ze strony serwera do klienta i vice versa. Narażone są w ten sposób klucze prywatne, które mogą posłużyć do rozszyfrowania całej komunikacji[1]. Klucze takie niezbędne są do utworzenia szyfrowanego połączenia. Narażone także są dane dostępowe użytkowników oraz inne dane znajdujące się po stronie serwera. Atakujący ma możliwość podsłuchiwania komunikacji, podszywania się pod usługi i użytkowników oraz kradzież danych[1].

Nazewnictwo[edytuj]

Błąd pojawił się w rozszerzeniu Heartbeat (pol. bicie serca) protokołu TLS/DTLS, stąd też jego nazwa Heartbleed (pol. krwawienie z serca). Nadanie luce wyróżniającej nazwy, logo oraz utworzenie dedykowanej strony WWW znacznie przyśpieszyło proces jej naprawy oraz uczyniło ją rozpoznawalną.

Luka została zarejestrowana w systemie CVE jako CVE-2014-0160 i jest to też oficjalna nazwa błędu.[2]

Przypisy