Įspėjimas apie „OpenSSL“ klaidą buvo publikuotas kartu su šios atviro kodo programinės įrangos 1.0.1g versijos išleidimu. „OpenSSL“ biblioteka yra naudojama pagal nutylėjimą „Apache“ ir „Nginx“ pagrindu veikiančiuose serveriuose, taip pat keliose operacinėse sistemose, elektroninio pašto ir greitųjų žinučių programose.
Dėl šios daugiau nei dvejus metus saugumo ekspertų nepastebėtos klaidos buvo įmanoma perimti skaitmeniniuose sertifikatuose saugomą privatų šifro raktą, per kurį interneto serveriai identifikuojasi galutiniam vartotojui ir šifruoja duomenis, keliaujančius tarp serverio bei vartotojo. Dar viena blogybė – kad pasinaudojus šia saugumo skyle serverio įrašuose nepaliekama jokių pėdsakų, taigi, neįmanoma nustatyt, nei kas šia klaida pasinaudojo, nei ar apskritai ja buvo naudojamasi. Tačiau įvertinus galimybę per šią skylę iškrapštyti šifro raktus, slaptažodžius ir kitus svarbius duomenis, kyla didelė rizika, kad šia skyle ateityje bus bandoma naudotis.
„Klaidos pavienėse programose ar bibliotekose pasitaiko ir būna ištaisomos naujose versijose. Tačiau ši klaida visam internetui atvėrė duris į didžiulį kiekį privačių raktų ir kitų paslapčių. Įvertinus tai, kad klaida egzistavo ilgą laiką, o pasinaudojimas ja nepalieka jokių pėdsakų, situaciją reikia vertinti itin rimtai“, - pirmadienį tinklaraštyje teigė „OpenSSL“ silpnybę aptikę ekspertai.
„Google“ ir programinės įrangos saugumo bendrovėje „Codenomicon“ dirbantys ekspertai teigė, jog net svetainėms atnaujinus „OpenSSL“ iki saugios versijos, pačios svetainės gali išlikti pažeidžiamos atakoms, mat egzistuoja grėsmė, kad programišiai šia skyle pasinaudojo jau anksčiau ir turi skaitmeninių sertifikatų privačius raktus, svetainių administravimo slaptažodžius ar autentifikavimo slapukus. Norint užsitikrinti saugumą, prarastą dėl dvejus metus egzistavusios skylės, taip pat reikėtų pakeisti visus iki šiol naudotus šifro raktus ir kitus autentifikavimo duomenis.
Kaip skelbia „Netcraft“, „OpenSSL“ yra populiariausia pasaulyje atviro kodo kriptografijos biblioteka, pagal nutylėjimą naudojama „Apache“ ir „Ngnix“ serveriuose, kuriuose veikia 66 proc. viso pasaulio svetainių. Be to, „OpenSSL“ naudojama ir įvairiose „Linux“ pagrindu sukurtose operacinėse sistemose - „Debian Wheezy“, „Ubuntu“, CENTOS, „Fedora“, „OpenBSD“, „FreeBSD“ ir „OpenSUSE“. Klaida egzistuoja visose „OpenSSL“ versijose nuo 1.0.1 iki 1.0.1f.
Klaida, kurios kodas yra CVE-2014-0160, programišiams suteikia galimybę iš serverio ar kliento kompiuterio su „OpenSSL“ atminties išgauti iki 64 kb duomenų bloką. „CloudFlare“ sistemų inžinierius Nickas Sullivanas sakė, kad jo įmonė iki šiol aiškinasi, kokia yra tikimybė, jog privatūs raktai galėtų būti šiuose atminties blokuose bei kaip tikėtina, kad programišiai šiuos duomenis pavogė iki klaidos paviešinimo. Nuo šio vertinimo rezultatų priklausys ir įmonės sprendimas keisti arba palikti TLS sertifikatą.
Tuo tarpu klaidą atradę saugumo ekspertai yra kategoriškesni: „Puolėme save iš išorės. Be jokios privilegijuotos informacijos ir slaptažodžių sugebėjome iš savęs pavogti slaptus raktus, naudotus mūsų X.509 sertifikatuose, vartotojų vardus ir slaptažodžius, greitąsias žinutes, elektroninius laiškus, verslo dokumentus ir susirašinėjimus“, rašoma jų tinklaraštyje.
