Szívből

A Heartbleed egy szoftveres biztonsági rés, amely az OpenSSL nyílt forráskódú titkosítási könyvtárábantalálható2012. március, amely lehetővé teszi a "támadónak", hogy elolvassa a szerver vagy az ügyfél memóriáját, hogy helyreállítsa például a TLS ( Transport Layer Security ) protokollal folytatott kommunikáció során használt magánkulcsokat . Felfedezés itt2014. március és nyilvánosságra hozta a 2014. április 7, sok internetes szolgáltatást érint . Így az úgynevezett biztonságos webszerverek 17% -át, vagyis mintegy félmillió szervert érintette volna a hiba, amikor felfedezték a hibát.

Történelem

A biztonsági rést állítólag tévedésből vezették be az OpenSSL adattárába, a hibajavításokra és a funkciók fejlesztésére vonatkozó javaslat nyomán, egy önkéntes fejlesztő. A javaslatot az OpenSSL csapata felülvizsgálta és érvényesítette2011. december 31, és a sérülékeny kódot hozzáadták az OpenSSL 1.0.1 verziójához, az 2012. március 14.

Ban ben 2014. április, a hibát függetlenül a Google biztonsági csapata és a finn Codenomicon cég mérnökei fedezték fel .

Következmények

Ez a hiba lehetővé teheti a rosszindulatú internet-felhasználók számára , hogy a sérülékeny webhely szerverein található információkat beolvassák, anélkül, hogy a felhasználó birtokában lenne. Állítólag ezek a személyes adatok hozzáférhetetlenek és védettek, de több szakértő talált jelszavakat az áldozatok áldozatainak. Mindazonáltal egy Google informatikus, aki részt vett a hiba kijavításában, továbbra is mérhetőbb és azt írja, hogy csak töredezett információkat látott, vagy nem látott érzékeny információkat.

A sérülékenység rávilágított az olyan szabad szoftverek forrásainak hiányára, mint az OpenSSL, és ez utóbbinak egyesített finanszírozási projektjéhez vezetett számos nagy informatikai vállalat ( Amazon Web Services , Microsoft , Google , Facebook stb.). Ezt a közös projektet Core Infrastructure Initiative néven hívják .

Az ellenőrzési eredmények azt mutatják, hogy egyes "támadók" legalább öt hónapig kihasználhatták a hibát, mielőtt azt hivatalosan felfedezték és elhárították.

Az Android 4.1.1 rendszert futtató eszközöket a biztonsági rés, vagyis az aktív eszközök alig kevesebb mint 10% -a érinti.

A biztonsági rés lehetséges hatásával először az elővigyázatosság elvével foglalkoztak , sok webhely megkövetelte a felhasználóktól, hogy a biztonsági frissítések alkalmazása után változtassák meg a jelszavukat. A2014. április 11, A CloudFlare elmagyarázza, hogy biztonsági szakemberei nem használták ki a kiskaput az SSL biztonsági kulcsok kibontásához, arra a következtetésre jutva, hogy az ezzel járó kockázatok a vártnál kisebbek lehetnek. Ennek igazolására a vállalat versenyt indít a sebezhetőség kiaknázására, amelyet napközben ketten nyernek.

A Bloomberg szerint a Nemzetbiztonsági Ügynökség (NSA) legalább két évig kihasználta a kiskaput megfigyelési és kémműveleti műveletekhez. Az ügynökség ugyanazon a napon tagadta.

Szakértők, köztük Johannes Ullrich, a SANS Intézet szerint a webböngészők biztonsági tanúsítványainak frissítése lelassítaná egyes webhelyekhez való hozzáférést.

A Filippo Valsorda weboldal teszteli, hogy egy webhely sebezhető-e vagy sem.

Sebezhető verziók

Érintett szolgáltatások és szoftverek

Weboldalak

A következő webhelyeket érintették, vagy olyan bejelentéseket tettek, amelyekben a hiba következtében ajánlják felhasználóiknak a jelszavuk megváltoztatását:

Alkalmazások

Számos alkalmazást érint ez a hiba. A szerkesztők frissítéseket nyújtanak, például:

Ez olyan online játékszolgáltatásokat is érint, mint a Steam , a Minecraft , a League of Legends , a GOG.com , az Origin Systems , az Evermore titka , a Humble Bundle és a Path of Exile .

Operációs rendszer

Megjegyzések és hivatkozások

  1. (in) "  Félmillió, széles körben megbízható, a szívbetegség által veszélyeztetett webhely  " ( ArchívumWikiwixArchive.isGoogle • Mit kell tenni? ) (Hozzáférés: 2017. június 8. ) , Netcraft, 2014. április 8.
  2. (en) "Az az  ember, aki súlyos" Heartbleed "biztonsági hibát vezetett be, tagadja, hogy szándékosan illesztette be  " , Sydney Morning Herald ,2014. április 11.
  3. „  találkozik a férfival, aki megalkotta a hiba, hogy majdnem kitört az internet  ” Globe and Mail ,2014. április 11( online olvasás ).
  4. "  # 2658: [PATCH] Add TLS / DTLS Heartbeats  " , OpenSSL ,2011.
  5. (in) Codenomicon Ltd. , "  heartbleed Bug  " ,2014. április 8(megtekintve 2014. április 8. ) .
  6. (in) Dan Goodin , "Az  OpenSSL kriptográfia kritikus hibája a web kétharmadát nyitja meg a lehallgatás előtt  " , Ars Technica ,2014. április 8(megtekintve 2014. április 8. ) .
  7. Hibabejelentő webhely - heartbleed.com , 2014. április 12.
  8. első hibaelhárítási e-mail , 2014. április 6., OpenSSL-tárhely.
  9. „  Mit tudunk a„ Heartbleed ”-ről, a zavaró internetes biztonsági megsértésről?  ", Le Monde ,2014. április 9( online olvasás , konzultáció 2014. április 11-én ).
  10. (hu-USA) „  A Google, a Microsoft által támogatott csoport az OpenSSL és más nyílt forráskódú projektek finanszírozásához  ” , Threatpost | A biztonsági hírek első állomása ,2014. április 24( online olvasás , konzultáció 2017. május 16-án )
  11. "  heartbleed: Nettó Giants mentési Key nyílt forráskódú projektek  ", Silicon ,2014. április 24( online olvasás , konzultáció 2017. május 16-án )
  12. Nicole Perlroth , "A  vállalatok vissza kezdeményezése az OpenSSL és más nyílt forráskódú projektek támogatására  " a Bits blogon (hozzáférés: 2017. május 16. )
  13. (hu-USA) Sean Gallagher: „A  szívből jövő sebezhetőséget kihasználhatták hónapokkal a javítás előtt [Frissítve]  ” , Ars Technica ,2014. április 9( online olvasás , konzultáció 2018. január 24 - én )
  14. (in) Peter Eckersley , "  Wild at Heart: Voltak hírszerző ügynökségek Using heartbleed novemberben 2013-ban?  " , Electronic Frontier Foundation ,2014. április 10( online olvasás , konzultáció 2018. január 24 - én )
  15. (in) Jordan Robertson, "  milliói Android készülékek sebezhető heartbleed Bug  " a Bloomberg ,2014. április 12(megtekintve 2014. április 13-án ) .
  16. (in) Nick Sullivan, "  Válasz a kritikus kérdés: Can You Get Egyéni SSL kulcsok használata heartbleed?  » , On CloudFlare ,2014. április 11(megtekintve : 2014. április 12. ) .
  17. (in) "  The heartbleed Challenge  " ( ArchívumWikiwixArchive.isGoogle • Mit kell tenni? ) , On CloudFlare .
  18. (a) Michael Riley, "  NSA Said kihasználni Bug heartbleed az intelligencia a Years  " on Bloomberg ,2014. április 12(megtekintve : 2014. április 12. ) .
  19. (in) ODNI Public Affairs Office, "  IC a rekordot  " , a Hivatal a Nemzeti Hírszerzés igazgatója, Tumblr ,2014. április 11(megtekintve : 2014. április 12. ) .
  20. "  Heartbleed: várjon lassúságot az interneten  " , a Le Figaro ,2014. április 16(megtekintve 2014. április 16-án ) .
  21. "  heartbleed FAQ: Akamai Systems Folt  ", Akamai Technologies ,2014. április 8( online olvasás ).
  22. "Az  AWS-szolgáltatások frissítése az OpenSSL-biztonsági rés megszüntetésére  ", Amazon Web Services ,2014. április 8( online olvasás ).
  23. "  Kedves olvasók, kérjük, változtassa meg ASS-fiókjának jelszavát ASAP  ", Ars Technica !2014. április 8( online olvasás ).
  24. "Az  összes Heartbleed frissítés befejeződött  ", BitBucket Blog ,2014. április 9( online olvasás ).
  25. "  A BrandVerity-fiók biztonságának megóvása a szívbugától  ", BrandVerity Blog ,2014. április 9( online olvasás ).
  26. „  Twitter / freenodestaff: már volt újraindítani egy csomó ...  ” ,2014. április 8.
  27. "  Biztonság: Szivélyes sérülékenység  ", GitHub ,2014. április 8( online olvasás ).
  28. "  IFTTT azt mondja, hogy 'már nem veszélyeztetett' To heartbleed  " Lifehacker ,2014. április 8( online olvasás ).
  29. "  heartbleed hiba, és az archívum | Internetes archívumblogok  ” , Blog.archive.org ,2014. április 9(megtekintve 2014. április 14-én ) .
  30. "  Twitter / KrisJelbring: Ha bejelentkezett bármely  " , Twitter.com ,2014. április 8(megtekintve 2014. április 14-én ) .
  31. Leo Kelion , "  BBC News - Heartbleed csapkodások eltalálták a Mumsnetet és a kanadai adóügynökséget  " , BBC News ,2014. április 14.
  32. (in) "  a széles körben elterjedt OpenSSL 'heartbleed' bug folt a peerj  " , peerj ,2014. április 9( online olvasás ).
  33. „  A Heartbleed-probléma hatással volt a Pinterestre?  » , Súgó , Pinterest (megtekintve : 2014. április 20. ) .
  34. "  Heartbleed Defeated  " ( ArchívumWikiwixArchive.isGoogle • Mit kell tenni? ) (Hozzáférés : 2014. április 13. ) .
  35. Személyzet: "  Javasoljuk, hogy változtassa meg a reddit jelszavát  " , Reddit ,2014. április 14(megtekintve 2014. április 14-én ) .
  36. "  FONTOS KÖZLEMÉNYEK A CHILI TERMÉKEITŐL  " (hozzáférés : 2014. április 13. ) .
  37. Brendan Codey , „  Biztonsági frissítés: Ma mindenkit kijelentkezünk, íme, miért  ”, SoundCloud ,2014. április 9( online olvasás ).
  38. "ctsai", "  SourceForge válasz a Heartbleedre  ", SourceForge ,2014. április 10( online olvasás ).
  39. "  heartbleed  " Sparkfun ,2014. április 9( online olvasás ).
  40. "  Heartbleed  ", Stripe (vállalat) ,2014. április 9( online olvasás , konzultáció 2014. április 10-én ).
  41. "  Tumblr Staff-Sürgős biztonsági frissítés  " ,2014. április 8(megtekintve 2014. április 9-én ) .
  42. Alex Hern : "  Szívből: ne rohanjon a jelszavak frissítésével - figyelmeztetnek a biztonsági szakértők  " - The Guardian ,2014. április 9( online olvasás ).
  43. Greg Grossmeier , "A  Wikimedia válasza a" szívből jövő "biztonsági résre  " , Wikimedia Foundation blog , Wikimedia Foundation ,2014. április 10(megtekintve 2014. április 10-én ) .
  44. "  Wunderlist és a Heartbleed OpenSSL biztonsági rése  " ,2014. április 10.
  45. (in) IPCop , "megjelent az  IPCop 2.1.4  " , a SourceForge elektronikus levelezőlisták ,2014. április 8(megtekintve 2014. április 11-én ) .
  46. (in) italovignoli, "A  LibreOffice 4.2.3 már letölthető  " [ archívum2014. április 12] , a The Document Foundation oldalán ,2014. április 10(megtekintve 2014. április 11-én ) .
  47. "  LogMeIn és OpenSSL  ", LogMeIn ,2014. április 9( online olvasás , konzultáció 2014. április 25-én ).
  48. "  HP szerverek kommunikációja: OpenSSL" HeartBleed "biztonsági rés  " ( ArchívumWikiwixArchive.isGoogle • Mit kell tenni? ) ,2014. április 18.
  49. "  McAfee Biztonsági Értesítő - OpenSSL Heartbleed sérülékenységet javítottak a McAfee termékekben  " , a McAfee KnowledgeBase-en , McAfee ,2014. április 17.
  50. "  Válasz az OpenSSL CVE-2014-0160 / CVE-2014-0346 biztonsági kérdésre, más néven:" Heartbleed "  " , VMware, Inc. (hozzáférés : 2014. április 17. ) .
  51. Paul Younger, „A  Heartbleed által érintett számítógépes játékszolgáltatások és a szükséges teendők  ” ( ArchívumWikiwixArchive.isGoogle • Que faire? ) , IncGamers ,2014. április 11.
  52. (in) "  szívvel: Android 4.1.1 Jelly Bean befolyásolhatja a gravementet  " , BGR Media ,2014. április 16.
  53. Alexis Kleinman : „  A szívbogár még mélyebben megy, mint amire rájöttünk - íme, mit kell tennie  ”, The Huffington Post ,2014. április 11( online olvasás ).
  54. (in) Danny Yadron , "  szívből fakadó hibát találtak a Cisco routerekben, a boróka fogaskerékben  " ( ArchívumWikiwixArchive.isGoogle • Mit kell tenni? ) , Dow Jones & Company, Inc. ,2014. április 10.
  55. (in) "  Cisco biztonsági tanácsadó: Az OpenSSL szívverés-kiterjesztés több Cisco-termékének biztonsági rése  " ( ArchívumWikiwixArchive.isGoogle • Mi a teendő? ) , Cisco ,2014. április 9.
  56. (in) "  2014-04 Out of Cycle Security Bulletin: Több által érintett termékek OpenSSL" heartbleed "kérdése (CVE-2014-0160)  " , Juniper Networks ,2014. április 14.
  57. (in) "  szívből fakadó hibakiadás  " , Western Digital ,2014. április 10( online olvasás ).

Függelékek

Kapcsolódó cikkek

Külső linkek