Уязвимости
Heartbleed (CVE-2014-0160)
Также известно как: CVE-2014-0160, Баг heartbeat в OpenSSL
Определение
Чтение за пределами буфера 2014 года в расширении TLS heartbeat OpenSSL, позволявшее за один запрос прочесть до 64 КБ памяти процесса и слить ключи, сессии и пароли.
Примеры
- Атакующие извлекают TLS-приватный ключ известного SaaS, чтобы расшифровать перехваченный трафик.
- Массовый сбор сессионных cookie аутентифицированных пользователей уязвимых серверов.
Связанные термины
Переполнение буфера
Ошибка безопасности памяти, при которой программа пишет за концом выделенного буфера, повреждая соседнюю память и часто открывая возможность выполнения кода.
Повреждение памяти
Обобщающий термин для уязвимостей, при которых программа пишет за пределы предполагаемой памяти, нарушая типовую безопасность, поток управления или целостность данных.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
CVE (Common Vulnerabilities and Exposures)
Публичный каталог, присваивающий уникальный идентификатор каждой раскрытой уязвимости ПО или оборудования для однозначных ссылок в индустрии.
Известная эксплуатируемая уязвимость (KEV)
CVE, активная эксплуатация которой подтверждена CISA США и которая включена в публичный каталог KEV, что устанавливает сроки устранения для федеральных ведомств США.
Совершенная прямая секретность
Свойство протокола, гарантирующее, что компрометация долговременных ключей не позволяет расшифровать трафик прошлых сессий.