Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL

09.04.2014 13:06

Проект Mozilla опубликовал информацию с анализом проявления уязвимости в OpenSSL в своих продуктах и сервисах. Проблема проявлялась только на серверах, обеспечивающих работу сервисов Persona и Firefox Account. Данные серверы были размещены на платформе Amazon Web Services (AWS), шифрованное соединение в которой обеспечивалось с использованием уязвимой версии OpenSSL. Браузера Firefox проблема в OpenSSL не касается, так как для шифрования в нём используется libnss.

Amazon достаточно оперативно выполнил обновление OpenSSL, поэтому в настоящий момент службы защищены от атак. Свидетельств о проведении атак на сервисы Mozilla не выявлено, но потенциально не исключается утечка идентификаторов сессий для доступа к инфраструктуре Persona и параметров пользователей, осуществлявших аутентификацию в сервисе Firefox Account (утечка возможна только при входе с вводом пароля, при дальнейшем обращении и синхронизации данных в процессе работы использовалось дополнительное шифрование).

Так как нет возможности убедиться в отсутствии атак на сервисы Mozilla, произведена смена TLS-ключей для сервисов проекта и отзыв сертификатов и ключей, которые могли быть затронуты потенциальной атакой. Также почищены сессионные идентификаторы Persona, что может потребовать повторно ввести пароль при обращении к сервису. В качестве дополнительного средства предосторожности пользователи Firefox Accounts и Persona на своё усмотрение могут поменять пароли, но фактов утечки данных пока не зафиксировано.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/39533-firefox

Ключевые слова: firefox, mozilla

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.1, Аноним (-), 13:17, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Не прячьте ваши парольчики по файлам в PGP. Несите ваши парольчики, иначе быть беде. И в полночь ваши парольчики заройте в землю там. И в полночь ваши парольчики заройте в землю где? - Ага, ага в мозила персоне.

2.15, пак (?), 07:06, 10/04/2014 [^] [^^] [^^^] [ответить]	+/–
наркоман йопт, персона это не хранилище паролей, это удобный для разработчиков и пользователей мост между твоим сервисом и всякого вида oauth, openid. firefox account это замена старому firefox sync, он хранит все для синхронизации firefox, там все персональное твоё личное, одна дырка в openssl не означает что до файлов твоей персональных ещё можно добраться.

1.2, Аноним (-), 13:17, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Теперь им придется переименоваться в Mozilla Public Person...

2.3, Аноним (-), 13:41, 09/04/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Так как после пользование данного сервиса появилась реальная угроза покрыться спамом, и потерять ценности, то скорее в Public House aka Mozilla Brothel/

1.10, ILYA INDIGO (ok), 18:56, 09/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Главное, что FireSync незатронут, остальное не важно.

2.11, Аноним (-), 19:40, 09/04/2014 [^] [^^] [^^^] [ответить]	+/–
С чего вы взяли что не затронут?

3.12, Аноним (-), 20:20, 09/04/2014 [^] [^^] [^^^] [ответить]	+/–
Раз говорит - значит знает.

3.13, Аноним (-), 20:21, 09/04/2014 [^] [^^] [^^^] [ответить]	+/–
Всплыло незакрывающееся окно в браузере с надписью "Не бойся смертный, FireSync не трогали мы, Митником клянемся".

3.14, Аноним (-), 23:18, 09/04/2014 [^] [^^] [^^^] [ответить]	+/–
Подними глаза повыше... там такой текст, новость называется. Двигай глазками слева на право да проговаривай...

3.16, пак (?), 07:11, 10/04/2014 [^] [^^] [^^^] [ответить]	+/–
> С чего вы взяли что не затронут? в firefox sync, твои данные хранятся в зашифрованном виде по твоему ключу во время регистрации, без ключа их нельзя восстановить, ключ можно сбросить через настройки, но тогда все шифрованные данные на сервисе удаляются.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: