مشاهده نسخه کامل
: hiva shabake
07-07-2014, 10:31
HeartBleed دقیقا چیست و چه می کند؟ نام فنی و رسمی این باگ 0160-CVE-2014 است. طبق آنچه که مارک جی. کاکس از اعضای نهاد OpenSSL در صفحه گوگل پلاس خود نوشته بود ، در روز یک آوریل امسال گوگل ضمن تماس با آن ها این باگ را با ذکر جزئیات به اطلاعشان رسانده است. این باگ را نیل مهتا (Neel Mehta) ، از مهندسان گوگل کشف کرده بود. در همین حال، شرکت Codenomicon نیز ضمن تایید اینکه گوگل پیش از آن ها این باگ را گزارش کرده است می افزاید این شرکت فنلاندی هم مستقل از گوگل این باگ را شناسایی و در روز 3 آوریل به نهاد توسعه OpenSSL گزارش کرده است. Codenomicon پس از شناسایی این باگ و با توجه به این که در الحاقیه کستنشن HeartBeat (تپش قلب) رخ داده بود آن را HeartBleed (خونزیزی قلبی) نام نهاد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این باگ در OpenSSL شناسایی شده است و مهاجمان می توانند با استفاده از آن اطلاعات را از روی وب سرور بخوانند. هدف اکستنشن Heartbeat این بود که کانال ارتباطی بین مرورگر و وب سرور را بی آنکه لازم باشد پروتکل های امنیتی بارها و بارها فرآیند یکسانی را تکرار کنند امن نگاه دارد. این باگ در OpenSSL شناسایی شده است و مهاجمان می توانند با استفاده از آن اطلاعات را از روی وب سرور بخوانند. هدف اکستنشن HeartBleed این بود که کانال ارتباطی بین مرورگر و وب سرور را بی آنکه لازم باشد پروتکل های امنیتی بارها و بارها فرآیند یکسانی را تکرار کنند ، امن نگاه دارد. اما باگ موجود در آن باعث می شد مهاجمان داده هایی را از حافظه وب سرور در خواست کنند؛ داده ای که شامل کلیدهای رمزنگاری SSL ، گذرواژه های کاربر و دیگر اطلاعات مهم نیز هست. طبق نوشته سایت HeartBleed.com که توسط پژوهشگران Codenomicon راه اندازی شده است، باگ هارتبلید به هر کسی در اینترنت اجازه می دهد تا حافظه سیستم های محافظت شونده توسط نسخه های آسیبپذیر OpenSSL را بخواند. این کار کلیدهای امنیتی مورد نیاز برای شناسایی سرویس دهنده و رمزنگاری ترافیک و نیز گذرواژه های کاربران و محتوای آن ها را در معرض تهدید قرار می دهد. به این ترتیب مهاجمان می توانند به دادههای داد و ستد شده دستبرد بزنند، آن ها را به طور مستقیم از سرویس ها و کاربران بربایند و خودشان را بجای سرویس ها و کاربران جا بزنند.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
چگونه از سایتم محافظت کنم ؟
اگر سایتتان در زمره سایت های آسیب پذیر قرار گرفته است، نهاد گسترش OpenSSL به شما پیشنهاد می کند که نرم افزار OpenSSL را به جدیدترین نسخه آن یعنی 1.0.1g ارتقا دهید. با این کار ضعف مذکور برطرف می شود. اگر به هر علتی نمی توانید OpenSSL را به روز کنید می توانید به عنوان راهکاری سریع و موقت دست کم قابلیت Heartbeat را غیر فعال کنید.
کدام نسخه های OpenSSL آسیب پذیرند ؟
توزیع های 1.0.1 و 1.0.2-beta شامل نسخه های 1.0.1f و 1.0.2-beta1
گاه های اصلی برای ترمیم OpenSSL
1- وصله گذاری OpenSSL
2- باز تولید تمام مجوزهای SSL
3- تغییر دادن گذرواژه ها
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این باگ در OpenSSL شناسایی شده است و مهاجمان می توانند با استفاده از آن اطلاعات را از روی وب سرور بخوانند. هدف اکستنشن Heartbeat این بود که کانال ارتباطی بین مرورگر و وب سرور را بی آنکه لازم باشد پروتکل های امنیتی بارها و بارها فرآیند یکسانی را تکرار کنند امن نگاه دارد. این باگ در OpenSSL شناسایی شده است و مهاجمان می توانند با استفاده از آن اطلاعات را از روی وب سرور بخوانند. هدف اکستنشن HeartBleed این بود که کانال ارتباطی بین مرورگر و وب سرور را بی آنکه لازم باشد پروتکل های امنیتی بارها و بارها فرآیند یکسانی را تکرار کنند ، امن نگاه دارد. اما باگ موجود در آن باعث می شد مهاجمان داده هایی را از حافظه وب سرور در خواست کنند؛ داده ای که شامل کلیدهای رمزنگاری SSL ، گذرواژه های کاربر و دیگر اطلاعات مهم نیز هست. طبق نوشته سایت HeartBleed.com که توسط پژوهشگران Codenomicon راه اندازی شده است، باگ هارتبلید به هر کسی در اینترنت اجازه می دهد تا حافظه سیستم های محافظت شونده توسط نسخه های آسیبپذیر OpenSSL را بخواند. این کار کلیدهای امنیتی مورد نیاز برای شناسایی سرویس دهنده و رمزنگاری ترافیک و نیز گذرواژه های کاربران و محتوای آن ها را در معرض تهدید قرار می دهد. به این ترتیب مهاجمان می توانند به دادههای داد و ستد شده دستبرد بزنند، آن ها را به طور مستقیم از سرویس ها و کاربران بربایند و خودشان را بجای سرویس ها و کاربران جا بزنند.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
چگونه از سایتم محافظت کنم ؟
اگر سایتتان در زمره سایت های آسیب پذیر قرار گرفته است، نهاد گسترش OpenSSL به شما پیشنهاد می کند که نرم افزار OpenSSL را به جدیدترین نسخه آن یعنی 1.0.1g ارتقا دهید. با این کار ضعف مذکور برطرف می شود. اگر به هر علتی نمی توانید OpenSSL را به روز کنید می توانید به عنوان راهکاری سریع و موقت دست کم قابلیت Heartbeat را غیر فعال کنید.
کدام نسخه های OpenSSL آسیب پذیرند ؟
توزیع های 1.0.1 و 1.0.2-beta شامل نسخه های 1.0.1f و 1.0.2-beta1
گاه های اصلی برای ترمیم OpenSSL
1- وصله گذاری OpenSSL
2- باز تولید تمام مجوزهای SSL
3- تغییر دادن گذرواژه ها