The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL

09.04.2014 13:06

Проект Mozilla опубликовал информацию с анализом проявления уязвимости в OpenSSL в своих продуктах и сервисах. Проблема проявлялась только на серверах, обеспечивающих работу сервисов Persona и Firefox Account. Данные серверы были размещены на платформе Amazon Web Services (AWS), шифрованное соединение в которой обеспечивалось с использованием уязвимой версии OpenSSL. Браузера Firefox проблема в OpenSSL не касается, так как для шифрования в нём используется libnss.

Amazon достаточно оперативно выполнил обновление OpenSSL, поэтому в настоящий момент службы защищены от атак. Свидетельств о проведении атак на сервисы Mozilla не выявлено, но потенциально не исключается утечка идентификаторов сессий для доступа к инфраструктуре Persona и параметров пользователей, осуществлявших аутентификацию в сервисе Firefox Account (утечка возможна только при входе с вводом пароля, при дальнейшем обращении и синхронизации данных в процессе работы использовалось дополнительное шифрование).

Так как нет возможности убедиться в отсутствии атак на сервисы Mozilla, произведена смена TLS-ключей для сервисов проекта и отзыв сертификатов и ключей, которые могли быть затронуты потенциальной атакой. Также почищены сессионные идентификаторы Persona, что может потребовать повторно ввести пароль при обращении к сервису. В качестве дополнительного средства предосторожности пользователи Firefox Accounts и Persona на своё усмотрение могут поменять пароли, но фактов утечки данных пока не зафиксировано.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
  3. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  4. OpenNews: Запущен сервис Firefox Accounts
  5. OpenNews: Mozilla прекращает развитие сервиса идентификации Persona
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/39533-firefox
Ключевые слова: firefox, mozilla
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:17, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не прячьте ваши парольчики по файлам в PGP.
    Несите ваши парольчики, иначе быть беде.
    И в полночь ваши парольчики заройте в землю там.
    И в полночь ваши парольчики заройте в землю где? -

    Ага, ага в мозила персоне.

     
     
  • 2.15, пак (?), 07:06, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    наркоман йопт, персона это не хранилище паролей, это удобный для разработчиков и пользователей мост между твоим сервисом и всякого вида oauth, openid.

    firefox account это замена старому firefox sync, он хранит все для синхронизации firefox, там все персональное твоё личное, одна дырка в openssl не означает что до файлов твоей персональных ещё можно добраться.

     

  • 1.2, Аноним (-), 13:17, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Теперь им придется переименоваться в Mozilla Public Person...
     
     
  • 2.3, Аноним (-), 13:41, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так как после пользование данного сервиса появилась реальная угроза покрыться спамом, и потерять ценности, то скорее в Public House aka Mozilla Brothel/
     

  • 1.10, ILYA INDIGO (ok), 18:56, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Главное, что FireSync незатронут, остальное не важно.
     
     
  • 2.11, Аноним (-), 19:40, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    С чего вы взяли что не затронут?
     
     
  • 3.12, Аноним (-), 20:20, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Раз говорит - значит знает.
     
  • 3.13, Аноним (-), 20:21, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Всплыло незакрывающееся окно в браузере с надписью "Не бойся смертный, FireSync не трогали мы, Митником клянемся".
     
  • 3.14, Аноним (-), 23:18, 09/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Подними глаза повыше... там такой текст, новость называется. Двигай глазками слева на право да проговаривай...
     
  • 3.16, пак (?), 07:11, 10/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > С чего вы взяли что не затронут?

    в firefox sync, твои данные хранятся в зашифрованном виде по твоему ключу во время регистрации, без ключа их нельзя восстановить, ключ можно сбросить через настройки, но тогда все шифрованные данные на сервисе удаляются.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру