شماره: IRCNE2014042150
تاريخ:19 /01/93
كارشناسان امنيت رايانه به ادمين ها توصيه مي كنند تا رخنه جدي موجود در يك كتابخانه نرم افزاري كه توسط ميليون ها وب سايت براي رمزگذاري ارتباطات حساس استفاده مي شود را اصلاح نمايند.
اين رخنه با نام مستعار "Heartbleed" در چندين نسخه از OpenSSL وجود دارد. OpenSSL يك كتابخانه رمزگذاري است كه رمزگذاري هاي SSL و TLS را ارائه مي دهد. اكثر وب سايت ها براي رمزگذاري از SSL و TLS استفاده مي كنند كه در مرورگرها با علامت قفل نشان داده مي شود.
اين رخنه كه براي اولين بار در دسامبر سال 2011 معرفي شد در OpenSSL نسخه 1.0.1g اصلاح شده است. نسخه هاي آسيب پذير OpenSSL، نسخه هاي 1.0.1 تا 1.0.1f مي باشد البته در اين ميان نسخه هاي 1.0.0 و 0.9.8 تحت تاثير اين رخنه قرار ندارند.
در صورت سوء استفاده موفقيت آميز از اين آسيب پذيري، مهاجمان مي توانند تمامي اطلاعات ردو بدل شده بين كاربر و يك ارائه دهنده خدمات وب را مشاهده نمايند و يا حتي مي توانند ترافيك هاي جمع آوري شده را رمزگشايي كنند. هم چنين مهاجمان مي توانند ارتباطات را استراق سمع كنند، داده ها را به طور مستقيم از كاربران و وب سايت ها به سرقت ببرند و يا حتي هويت كاربر و سرويس را جعل كنند.
اين رخنه توسط سه محقق از شركت امنيتي Codenomicon و Neel Mehta از شركت گوگل كشف شده است. دامنه اين مشكل وسيع است و تمامي سيستم عامل هاي امروزي ممكن است نسخه اي آسيب پذير از OpenSSL را داشته باشند. سيستم عامل هايي كه ممكن است تحت تاثير يك نسخه آُسيب پذير از OpenSSL قرار داشته باشند عبارتند از: Debian Wheezy، Ubuntu 12.04.4 LTS، CentOS 6.5، Fedora 18، OpenBSD 5.3، FreeBSD 8.4، NetBSD 5.0.2 و OpenSUSE 12.2.
اين كتابخانه در دو وب سرور معروف آپاچي و nginx مورد استفاده قرار مي گيرد. هم چنين براي حفاظت از سرورهاي پست الكترونيكي، سرورهاي چت، شبكه هاي خصوصي مجازي و ساير لوازم شبكه از اين كتابخانه استفاده مي شود.
به مديران شبكه توصيه مي شود تا آخرين نسخه SSL را اعمال نمايند، كليدهايي كه ممكن است با مشكل مواجه شده باشند را لغو نموده و كليدهاي جديدي ايجاد نمايند.
- 7