Пользователей Flickr и Tumblr просят поменять пароли из-за OpenSSL

В популярной системе криптографической защиты информации OpenSSL обнаружена уязвимость, из-за которой посторонние могли перехватывать личную информацию интернет-пользователей, сообщает официальный сайт разработчика системы.

Уязвимость в расширении Heartbeat (RFC6520) для TLS была выявлена в ночь на 7 апреля. Она позволяет хакерам считывать оперативную память с веб-серверов, использующих TLS. Таким образом, из памяти сервера можно извлечь различную информацию, в том числе ключи шифрования и пароли пользователей. Сейчас в зоне риска находятся тысячи открытых для чтения серверов финансовых учреждений, государственных организаций, почтовых служб и т.д.

В числе сайтов, использующих уязвимую библиотеку OpenSSL, присутствуют Yahoo.com, торрент-трекер Kickass.to, фотосервис Flickr.com, сервис микроблогов Tumblr, онлайновый аукцион avito.ru, игровой форум steamcommunity.com. Список некоторых крупнейших сайтов, проверенных в связи с обнаруженной уязвимостью, можно найти здесь.

В связи с обнаружением проблемы, организациям, оказывающим услуги через интернет, рекомендовано известить пользователей о необходимости поменять пароли доступа. В первую очередь, это касается тех компаний, которые обеспечивают доступ к банковским услугам, электронной почте и виртуальным хранилищам файлов. На официальном сайте OpenSSL уже доступна новая версия OpenSSL 1.0.1g c исправленным расширением. Системным администраторам также рекомендовано отключить сбойное расширение Heartbeat (RFC6520) для TLS.