فا

‫ آسيب پذيري شناسايي شده در OpenSSL

آسيب پذيري شناسايي شده در OpenSSL

مقدمه

در تاريخ 7 آوريل 2014 يك آسيب پذيري خطرناك در بسته نرم افزاري OpenSSL شناسايي شد. OpenSSL يك مجموعه ابزار و كتابخانه از توابع رمزنگاري است كه مورد استفاده غالب محصولات متن باز به ويژه سيستم عامل هاي خانواده لينوكس مي باشد. اين آسيب پذيري كه توسط شركت امنيتي codenomicon شناسايي و تحت عنوان Heartbleed نامگذاري شده است.

توضيحات

اين آسيب پذيري كه در نسخه هاي متعددي از OpenSSL وجود دارد به مهاجمين اين امكان را مي دهد كه به قسمت هايي از حافظه سيستم دست يابند و از اين طريق به اطلاعات حساسي نظير كليد هاي خصوصي و رمز عبور و ... دست پيدا كنند.

نكته حايز اهميت آن است كه نرم افزار هاي متعددي كه وابسته به OpenSSL هستند از جمله سرويس هايي نظير imap،smtp،http و pop3 مي توانند در خطر باشند.

نسخه هاي آسيب پذير

تمامي اين نسخه ها از نرم افزار OpenSSL آسيب پذير هستند:

 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 و همچنين 1.0.2-beta1

اين آسيب پذيري در نسخه 1.0.1g رفع شده است.

شناسايي سيستم هاي آسيب پذير

چنانچه شما از نرم افزارهاي متن باز به ويژه سيستم عامل لينوكس و انواع سرويس دهنده هاي ايميل و وب سرور هاي تحت لينوكس استفاده مي نماييد، مي توانيد به سادگي با بررسي نسخه بسته OpenSSL از آسيب پذير بودن آن اطلاع حاصل كنيد. براي اين منظور كافي است در كنسول لينوكس دستور زير را وارد كنيد:

openssl version

چنانچه نسخه نمايش داده شده يكي از نسخه هاي ذكر شده فوق بود شما نياز به بروز رساني بسته OpenSSL داريد.

راهكارهاي مقابله

اين آسيب پذيري اخيراً و پيش از اعلان عمومي به برخي از توليد كنندگان مرتبط اطلاع داده شده است در نتيجه بسته هاي بروز رساني حاوي نسخه اصلاح شده OpenSSL در دسترس است. براي بروز رساني مي توانيد از ابزار مديريت بسته هاي سيستم عامل خود استفاده كنيد. براي نمونه در برخي از سيستم هاي لينوكس مي توانيد از اين دستورات استفاده كنيد:

Debian

apt-get update
apt-get upgrade

Ubuntu

apt-get update
apt-get upgrade

Fedora and CentOS

yum update

همچنين پس از بروز رساني حتما سرويس هايي كه از OpenSSL استفاده مي كنند را مجدداً راه اندازي كنيد.

منابع:

·         http://www.kb.cert.org/vuls/id/720951

·         http://www.openssl.org/news/vulnerabilities.html

·         https://www.openssl.org/news/secadv_20140407.txt

·         http://heartbleed.com/

اطلاعات ديگر

·         CVE IDs: CVE-2014-0160

·         تاريخ عمومي شدن:7 آوريل 2014(18 فروردين 92)

·         تاريخ اولين انتشار: 7 آوريل 2014(18 فروردين 92)

·         تاريخ اولين بروزرساني: 9 آوريل 2014(20 فروردين 92)


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 20 فروردین 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0