Szívből
A Heartbleed egy szoftveres biztonsági rés, amely az OpenSSL nyílt forráskódú titkosítási könyvtárábantalálható2012. március, amely lehetővé teszi a "támadónak", hogy elolvassa a szerver vagy az ügyfél memóriáját, hogy helyreállítsa például a TLS ( Transport Layer Security ) protokollal folytatott kommunikáció során használt magánkulcsokat . Felfedezés itt2014. március és nyilvánosságra hozta a 2014. április 7, sok internetes szolgáltatást érint . Így az úgynevezett biztonságos webszerverek 17% -át, vagyis mintegy félmillió szervert érintette volna a hiba, amikor felfedezték a hibát.
Történelem
A biztonsági rést állítólag tévedésből vezették be az OpenSSL adattárába, a hibajavításokra és a funkciók fejlesztésére vonatkozó javaslat nyomán, egy önkéntes fejlesztő. A javaslatot az OpenSSL csapata felülvizsgálta és érvényesítette2011. december 31, és a sérülékeny kódot hozzáadták az OpenSSL 1.0.1 verziójához, az 2012. március 14.
Ban ben 2014. április, a hibát függetlenül a Google biztonsági csapata és a finn Codenomicon cég mérnökei fedezték fel .
Következmények
Ez a hiba lehetővé teheti a rosszindulatú internet-felhasználók számára , hogy a sérülékeny webhely szerverein található információkat beolvassák, anélkül, hogy a felhasználó birtokában lenne. Állítólag ezek a személyes adatok hozzáférhetetlenek és védettek, de több szakértő talált jelszavakat az áldozatok áldozatainak. Mindazonáltal egy Google informatikus, aki részt vett a hiba kijavításában, továbbra is mérhetőbb és azt írja, hogy csak töredezett információkat látott, vagy nem látott érzékeny információkat.
A sérülékenység rávilágított az olyan szabad szoftverek forrásainak hiányára, mint az OpenSSL, és ez utóbbinak egyesített finanszírozási projektjéhez vezetett számos nagy informatikai vállalat ( Amazon Web Services , Microsoft , Google , Facebook stb.). Ezt a közös projektet Core Infrastructure Initiative néven hívják .
Az ellenőrzési eredmények azt mutatják, hogy egyes "támadók" legalább öt hónapig kihasználhatták a hibát, mielőtt azt hivatalosan felfedezték és elhárították.
Az Android 4.1.1 rendszert futtató eszközöket a biztonsági rés, vagyis az aktív eszközök alig kevesebb mint 10% -a érinti.
A biztonsági rés lehetséges hatásával először az elővigyázatosság elvével foglalkoztak , sok webhely megkövetelte a felhasználóktól, hogy a biztonsági frissítések alkalmazása után változtassák meg a jelszavukat. A2014. április 11, A CloudFlare elmagyarázza, hogy biztonsági szakemberei nem használták ki a kiskaput az SSL biztonsági kulcsok kibontásához, arra a következtetésre jutva, hogy az ezzel járó kockázatok a vártnál kisebbek lehetnek. Ennek igazolására a vállalat versenyt indít a sebezhetőség kiaknázására, amelyet napközben ketten nyernek.
A Bloomberg szerint a Nemzetbiztonsági Ügynökség (NSA) legalább két évig kihasználta a kiskaput megfigyelési és kémműveleti műveletekhez. Az ügynökség ugyanazon a napon tagadta.
Szakértők, köztük Johannes Ullrich, a SANS Intézet szerint a webböngészők biztonsági tanúsítványainak frissítése lelassítaná egyes webhelyekhez való hozzáférést.
A Filippo Valsorda weboldal teszteli, hogy egy webhely sebezhető-e vagy sem.
Sebezhető verziók
- Az OpenSSL korábbi verziói (0.9.8 és 1.0.0) nem sérülékenyek ennek a hibának.
- 1.0.1 verziók (azóta elérhető 2011. december) az OpenSSL 1.0.1f-ig (beleértve) is sebezhetőek.
- Az 1.0.1g verzió elérhető 2014. április 7 javítja a hibát.
Érintett szolgáltatások és szoftverek
Weboldalak
A következő webhelyeket érintették, vagy olyan bejelentéseket tettek, amelyekben a hiba következtében ajánlják felhasználóiknak a jelszavuk megváltoztatását:
Alkalmazások
Számos alkalmazást érint ez a hiba. A szerkesztők frissítéseket nyújtanak, például:
-
Az IPCop közzététele2014. április 8 a 2.1.4a verzió a hiba kijavítása érdekében;
- A jelszókezelő alkalmazás online LastPass Password Manager (in) ;
-
A LibreOffice 4.2.3 kiadva2014. április 10 ;
-
A LogMeIn azt mondja, hogy sok termék frissítését kínálja, amelyek OpenSSL-alapúak voltak;
- HP alkalmazásszerverek ;
-
McAfee ;
- VMware sorozat.
Ez olyan online játékszolgáltatásokat is érint, mint a Steam , a Minecraft , a League of Legends , a GOG.com , az Origin Systems , az Evermore titka , a Humble Bundle és a Path of Exile .
Operációs rendszer
Megjegyzések és hivatkozások
-
(in) " Félmillió, széles körben megbízható, a szívbetegség által veszélyeztetett webhely " ( Archívum • Wikiwix • Archive.is • Google • Mit kell tenni? ) (Hozzáférés: 2017. június 8. ) , Netcraft, 2014. április 8.
-
(en) "Az az ember, aki súlyos" Heartbleed "biztonsági hibát vezetett be, tagadja, hogy szándékosan illesztette be " , Sydney Morning Herald ,2014. április 11.
-
„ találkozik a férfival, aki megalkotta a hiba, hogy majdnem kitört az internet ” Globe and Mail ,2014. április 11( online olvasás ).
-
" # 2658: [PATCH] Add TLS / DTLS Heartbeats " , OpenSSL ,2011.
-
(in) Codenomicon Ltd. , " heartbleed Bug " ,2014. április 8(megtekintve 2014. április 8. ) .
-
(in) Dan Goodin , "Az OpenSSL kriptográfia kritikus hibája a web kétharmadát nyitja meg a lehallgatás előtt " , Ars Technica ,2014. április 8(megtekintve 2014. április 8. ) .
-
Hibabejelentő webhely - heartbleed.com , 2014. április 12.
-
első hibaelhárítási e-mail , 2014. április 6., OpenSSL-tárhely.
-
„ Mit tudunk a„ Heartbleed ”-ről, a zavaró internetes biztonsági megsértésről? ", Le Monde ,2014. április 9( online olvasás , konzultáció 2014. április 11-én ).
-
(hu-USA) „ A Google, a Microsoft által támogatott csoport az OpenSSL és más nyílt forráskódú projektek finanszírozásához ” , Threatpost | A biztonsági hírek első állomása ,2014. április 24( online olvasás , konzultáció 2017. május 16-án )
-
" heartbleed: Nettó Giants mentési Key nyílt forráskódú projektek ", Silicon ,2014. április 24( online olvasás , konzultáció 2017. május 16-án )
-
Nicole Perlroth , "A vállalatok vissza kezdeményezése az OpenSSL és más nyílt forráskódú projektek támogatására " a Bits blogon (hozzáférés: 2017. május 16. )
-
(hu-USA) Sean Gallagher: „A szívből jövő sebezhetőséget kihasználhatták hónapokkal a javítás előtt [Frissítve] ” , Ars Technica ,2014. április 9( online olvasás , konzultáció 2018. január 24 - én )
-
(in) Peter Eckersley , " Wild at Heart: Voltak hírszerző ügynökségek Using heartbleed novemberben 2013-ban? " , Electronic Frontier Foundation ,2014. április 10( online olvasás , konzultáció 2018. január 24 - én )
-
(in) Jordan Robertson, " milliói Android készülékek sebezhető heartbleed Bug " a Bloomberg ,2014. április 12(megtekintve 2014. április 13-án ) .
-
(in) Nick Sullivan, " Válasz a kritikus kérdés: Can You Get Egyéni SSL kulcsok használata heartbleed? » , On CloudFlare ,2014. április 11(megtekintve : 2014. április 12. ) .
-
(in) " The heartbleed Challenge " ( Archívum • Wikiwix • Archive.is • Google • Mit kell tenni? ) , On CloudFlare .
-
(a) Michael Riley, " NSA Said kihasználni Bug heartbleed az intelligencia a Years " on Bloomberg ,2014. április 12(megtekintve : 2014. április 12. ) .
-
(in) ODNI Public Affairs Office, " IC a rekordot " , a Hivatal a Nemzeti Hírszerzés igazgatója, Tumblr ,2014. április 11(megtekintve : 2014. április 12. ) .
-
" Heartbleed: várjon lassúságot az interneten " , a Le Figaro ,2014. április 16(megtekintve 2014. április 16-án ) .
-
" heartbleed FAQ: Akamai Systems Folt ", Akamai Technologies ,2014. április 8( online olvasás ).
-
"Az AWS-szolgáltatások frissítése az OpenSSL-biztonsági rés megszüntetésére ", Amazon Web Services ,2014. április 8( online olvasás ).
-
" Kedves olvasók, kérjük, változtassa meg ASS-fiókjának jelszavát ASAP ", Ars Technica !2014. április 8( online olvasás ).
-
"Az összes Heartbleed frissítés befejeződött ", BitBucket Blog ,2014. április 9( online olvasás ).
-
" A BrandVerity-fiók biztonságának megóvása a szívbugától ", BrandVerity Blog ,2014. április 9( online olvasás ).
-
„ Twitter / freenodestaff: már volt újraindítani egy csomó ... ” ,2014. április 8.
-
" Biztonság: Szivélyes sérülékenység ", GitHub ,2014. április 8( online olvasás ).
-
" IFTTT azt mondja, hogy 'már nem veszélyeztetett' To heartbleed " Lifehacker ,2014. április 8( online olvasás ).
-
" heartbleed hiba, és az archívum | Internetes archívumblogok ” , Blog.archive.org ,2014. április 9(megtekintve 2014. április 14-én ) .
-
" Twitter / KrisJelbring: Ha bejelentkezett bármely " , Twitter.com ,2014. április 8(megtekintve 2014. április 14-én ) .
-
Leo Kelion , " BBC News - Heartbleed csapkodások eltalálták a Mumsnetet és a kanadai adóügynökséget " , BBC News ,2014. április 14.
-
(in) " a széles körben elterjedt OpenSSL 'heartbleed' bug folt a peerj " , peerj ,2014. április 9( online olvasás ).
-
„ A Heartbleed-probléma hatással volt a Pinterestre? » , Súgó , Pinterest (megtekintve : 2014. április 20. ) .
-
" Heartbleed Defeated " ( Archívum • Wikiwix • Archive.is • Google • Mit kell tenni? ) (Hozzáférés : 2014. április 13. ) .
-
Személyzet: " Javasoljuk, hogy változtassa meg a reddit jelszavát " , Reddit ,2014. április 14(megtekintve 2014. április 14-én ) .
-
" FONTOS KÖZLEMÉNYEK A CHILI TERMÉKEITŐL " (hozzáférés : 2014. április 13. ) .
-
Brendan Codey , „ Biztonsági frissítés: Ma mindenkit kijelentkezünk, íme, miért ”, SoundCloud ,2014. április 9( online olvasás ).
-
"ctsai", " SourceForge válasz a Heartbleedre ", SourceForge ,2014. április 10( online olvasás ).
-
" heartbleed " Sparkfun ,2014. április 9( online olvasás ).
-
" Heartbleed ", Stripe (vállalat) ,2014. április 9( online olvasás , konzultáció 2014. április 10-én ).
-
" Tumblr Staff-Sürgős biztonsági frissítés " ,2014. április 8(megtekintve 2014. április 9-én ) .
-
Alex Hern : " Szívből: ne rohanjon a jelszavak frissítésével - figyelmeztetnek a biztonsági szakértők " - The Guardian ,2014. április 9( online olvasás ).
-
Greg Grossmeier , "A Wikimedia válasza a" szívből jövő "biztonsági résre " , Wikimedia Foundation blog , Wikimedia Foundation ,2014. április 10(megtekintve 2014. április 10-én ) .
-
" Wunderlist és a Heartbleed OpenSSL biztonsági rése " ,2014. április 10.
-
(in) IPCop , "megjelent az IPCop 2.1.4 " , a SourceForge elektronikus levelezőlisták ,2014. április 8(megtekintve 2014. április 11-én ) .
-
(in) italovignoli, "A LibreOffice 4.2.3 már letölthető " [ archívum2014. április 12] , a The Document Foundation oldalán ,2014. április 10(megtekintve 2014. április 11-én ) .
-
" LogMeIn és OpenSSL ", LogMeIn ,2014. április 9( online olvasás , konzultáció 2014. április 25-én ).
-
" HP szerverek kommunikációja: OpenSSL" HeartBleed "biztonsági rés " ( Archívum • Wikiwix • Archive.is • Google • Mit kell tenni? ) ,2014. április 18.
-
" McAfee Biztonsági Értesítő - OpenSSL Heartbleed sérülékenységet javítottak a McAfee termékekben " , a McAfee KnowledgeBase-en , McAfee ,2014. április 17.
-
" Válasz az OpenSSL CVE-2014-0160 / CVE-2014-0346 biztonsági kérdésre, más néven:" Heartbleed " " , VMware, Inc. (hozzáférés : 2014. április 17. ) .
-
Paul Younger, „A Heartbleed által érintett számítógépes játékszolgáltatások és a szükséges teendők ” ( Archívum • Wikiwix • Archive.is • Google • Que faire? ) , IncGamers ,2014. április 11.
-
(in) " szívvel: Android 4.1.1 Jelly Bean befolyásolhatja a gravementet " , BGR Media ,2014. április 16.
-
Alexis Kleinman : „ A szívbogár még mélyebben megy, mint amire rájöttünk - íme, mit kell tennie ”, The Huffington Post ,2014. április 11( online olvasás ).
-
(in) Danny Yadron , " szívből fakadó hibát találtak a Cisco routerekben, a boróka fogaskerékben " ( Archívum • Wikiwix • Archive.is • Google • Mit kell tenni? ) , Dow Jones & Company, Inc. ,2014. április 10.
-
(in) " Cisco biztonsági tanácsadó: Az OpenSSL szívverés-kiterjesztés több Cisco-termékének biztonsági rése " ( Archívum • Wikiwix • Archive.is • Google • Mi a teendő? ) , Cisco ,2014. április 9.
-
(in) " 2014-04 Out of Cycle Security Bulletin: Több által érintett termékek OpenSSL" heartbleed "kérdése (CVE-2014-0160) " , Juniper Networks ,2014. április 14.
-
(in) " szívből fakadó hibakiadás " , Western Digital ,2014. április 10( online olvasás ).
Függelékek
Kapcsolódó cikkek
Külső linkek