Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой ошибки кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
OpenSSL версии ниже 1.0.1 не подвержен уязвимости. Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую необходимо установить, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей.
Для проверки установленной версии OpenSSL можно использовать команды:
# проверка версии установленного ПО dpkg -l | grep openssl # установка всех доступных обновлений apt-get update && apt-get upgrade
# проверка версии установленного ПО rpm -qa | grep openssl # установка всех доступных обновлений yum update
После установки необходимо перезапустить все сервисы использующие OpenSSL или просто перезагрузить сервер.