Протокол SSL изобретен еще в далеком 1995 году и используется на многих веб-сайтах повсеместно, в основном для авторизации пользователей. Он предназначен для шифрования информации «на лету» чтобы ее нельзя было перехватить/подслушать на уровне канала передачи данных, например, учетных данных пользователя.

Кто бы мог подумать, что последнее время, а точнее с 2011 года, в популярной открытой библиотеке OpenSSL содержался баг, который позволял спровоцировать переполнения буфера памяти и получить контроль над передаваемой информацией. Назван данный баг Heartbleed (в переводе означающее «кровоточащее сердце»).

Лишь в апреле 2014 года стало известно о существовании такой уязвимости. По подсчетам специалистов, до 17% сайтов, использующих SSL-протокол, могли быть уязвимыми.

Примечателен тот факт, что баг был определен лишь в конкретной версии библиотеки OpenSSL, которая в свою очередь является популярным программным обеспечением с открытым исходным кодом.

Таким образом, данная проблема, как ни странно, обошла стороной все коммерческие решения, в том числе, Microsoft. 

Удивила реакция самих поставщиков SSL-сертификатов. Хоть инженеры по безопасности Google отрапортовали о данной проблеме 1 апреля, вендор Symantec (принадлежащие ей торговые марки Thawte и GeoTrust) сделали публичное заявление по этому поводу лишь 11 апреля 2014 г.

Проверить ваш сайт на наличие уязвимости можно по адресу: http://safeweb.norton.com/heartbleed/

Мы с радостью сообщаем, что на серверах хостинга dc.nerus.com использовалась стабильная версия OpenSSL 0.9.8, которая не содержит уязвимости Heartbleed.

 

Для заинтересовавшихся в более глубоком изучении будет интересно:

• Список сайтов которые задела уязвимость Heartbleed
• Отдельный сайт посвященный Heartbleed
• Статья на Wikipedia