در تاريخ 7 آوريل 2014 يك آسيب پذيري خطرناك در بسته نرم افزاري OpenSSL شناسايي شد. OpenSSL يك مجموعه ابزار و كتابخانه از توابع رمزنگاري است كه مورد استفاده غالب محصولات متن باز به ويژه سيستم عامل هاي خانواده لينوكس مي باشد. اين آسيب پذيري كه توسط شركت امنيتي codenomicon شناسايي و تحت عنوان Heartbleed نامگذاري شده است.
توضيحات
اين آسيب پذيري كه در نسخه هاي متعددي از OpenSSL وجود دارد به مهاجمين اين امكان را مي دهد كه به قسمت هايي از حافظه سيستم دست يابند و از اين طريق به اطلاعات حساسي نظير كليد هاي خصوصي و رمز عبور و ... دست پيدا كنند.
نكته حايز اهميت آن است كه نرم افزار هاي متعددي كه وابسته به OpenSSL هستند از جمله سرويس هايي نظير imap،smtp،http و pop3 مي توانند در خطر باشند.
نسخه هاي آسيب پذير
تمامي اين نسخه ها از نرم افزار OpenSSL آسيب پذير هستند:
1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 و همچنين 1.0.2-beta1
راهحل
اين آسيب پذيري در نسخه 1.0.1g رفع شده است.
شناسايي سيستم هاي آسيب پذير
چنانچه شما از نرم افزارهاي متن باز به ويژه سيستم عامل لينوكس و انواع سرويس دهنده هاي ايميل و وب سرور هاي تحت لينوكس استفاده مي نماييد، مي توانيد به سادگي با بررسي نسخه بسته OpenSSL از آسيب پذير بودن آن اطلاع حاصل كنيد. براي اين منظور كافي است در كنسول لينوكس دستور زير را وارد كنيد:
openssl version
چنانچه نسخه نمايش داده شده يكي از نسخه هاي ذكر شده فوق بود شما نياز به بروز رساني بسته OpenSSL داريد.
راهكارهاي مقابله
اين آسيب پذيري اخيراً و پيش از اعلان عمومي به برخي از توليد كنندگان مرتبط اطلاع داده شده است در نتيجه بسته هاي بروز رساني حاوي نسخه اصلاح شده OpenSSL در دسترس است. براي بروز رساني مي توانيد از ابزار مديريت بسته هاي سيستم عامل خود استفاده كنيد. براي نمونه در برخي از سيستم هاي لينوكس مي توانيد از اين دستورات استفاده كنيد:
Debian
apt-get update apt-get upgrade
Ubuntu
apt-get update apt-get upgrade
Fedora and CentOS
yum update
همچنين پس از بروز رساني حتما سرويس هايي كه از OpenSSL استفاده مي كنند را مجدداً راه اندازي كنيد.
منابع:
[1] http://www.kb.cert.org/vuls/id/720951
[2] http://www.openssl.org/news/vulnerabilities.html
[3] https://www.openssl.org/news/secadv_20140407.txt
[4] http://heartbleed.com/
اطلاعات ديگر
CVE IDs: CVE-2014-0160
تاريخ عمومي شدن:7 آوريل 2014 (18 فروردين 92)
تاريخ اولين انتشار: 7 آوريل 2014 (18 فروردين 92)
تاريخ اولين بروزرساني: 9 آوريل 2014 (20 فروردين 92)
- 23