Shop menü
Bejelentkezés Regisztráció
HARDVER

SÚLYOS BIZTONSÁGI RÉS MIATT VESZÉLYBEN A JELSZAVAK (IS)

Egy komoly nulladik napi sebezhetőségre derült fény, ami az OpenSSL-t érinti, és ami miatt a hackerek észrevétlenül szerezhetnek érzékeny adatokat a különböző szerverekről, így a jelszavakon kívül egyéb adatok is veszélyben lehetnek.
Víg Ferenc (J.o.k.e.r)
Víg Ferenc (J.o.k.e.r)
Súlyos biztonsági rés miatt veszélyben a jelszavak (is)

Meglehetősen komoly biztonsági rés tartotta lázban a szerverüzemeltetőket az elmúlt napok során, ami rengeteg szervert érint. A HeartBleed Bug néven emlegetett biztonsági rést a Google egyik szakembere, Neel Mehta fedezte fel és időközben elkészült hozzá a javítás is, így sokan most is eszeveszett tempóban frissítik az OpenSSL szoftvercsomagot.

Galéria megnyitása

A HeartBleed Bug az OpenSSL 1.0.1-es és 1.0.2 béta kiadását érinti, amelyek közül az 1.0.1-es változatot nagyon széles körben alkalmazzák a különböző szervereken. Mivel az SSL (Secure-Socket Layer) és a TLS (Transport Layer Security) szerepe kulcsfontosságú, már ami az internetes biztonságot illeti, így a nemrégiben felfedezett biztonsági rés igen komoly veszélyt jelent.

OpenSSL verziók és érintettségük

•OpenSSL 1.0.1-től 1.0.1f-ig minden kiadás veszélyeztetett

•OpenSSL 1.0.1g - biztonságos, erre érdemes frissíteni

•OpenSSL 1.0.0 - biztonságos

•OpenSSL 0.9.8 - biztonságos

A HeartBleed Bug jóvoltából a támadók nem csak a titkosított üzenetek tartalmát olvashatják el – például egy HTTPS protokollon keresztül zajló bankkártyás tranzakció adatait –, de magukhoz az elsődleges és a másodlagos SSL kulcsokhoz is hozzáférhetnek, ami komoly baj forrása lehet. A megszerzett adatokat elméletben álkulcsként fel lehet használni az adott szerver biztonsági rendszerének kijátszására is, így észrevétlenül lehet hozzáférni a különböző érzékeny adatokhoz.

Veszélyeztetett operációs rendszerek:

•Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

•Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

•CentOS 6.5, OpenSSL 1.0.1e-15

•Fedora 18, OpenSSL 1.0.1e-4

•OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)

•FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013

•NetBSD 5.0.2 (OpenSSL 1.0.1e)

•OpenSUSE 12.2 (OpenSSL 1.0.1c)

Biztonságos operációs rendszerek:

•Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14

•SUSE Linux Enterprise Server

•FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013

•FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013

•FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

Maga a biztonsági rés nem az OpenSSL kialakításából, illetve felépítéséből fakad, hiszen implementációs problémáról van szó, ami programozási hibára vezethető vissza. Szerencsére a biztonsági réshez már van javítás, legalábbis az OpenSSL 1.0.1-es kiadásához, méghozzá az OpenSSL 1.0.1g személyében. A korábbi információk alapján az 1.0.2 béta változathoz is készül már a patch, ami 1.0.2 béta2 néven lesz elérhető.

Érdekesség egyébként, hogy komoly fejtörést okozott a patch készítőinek, hogy a biztonsági résről szóló híradások sokkal hamarabb napvilágot láttak, mint ahogy a javítás elkészült, ami igen veszélyes, hiszen a biztonsági rés kihasználásával adatok megszerzésére van mód – már amennyiben az adott feketekalapos hacker ismeri a biztonsági rés kihasználásához szükséges teendőket.

A frissítéseket a szerverüzemeltetők a lehető leghamarabb telepítik, de így is fennáll a veszélye, hogy felhasználónevek és jelszavak szivárogtak, illetve szivárognak ki, így mindenképpen érdemes a felhasználóknak jelszavakat változtatniuk, sőt, egyes weboldalak üzemeltetői erre meg is fogják kérni őket. Pusztán elővigyázatosságból – abból még nem volt baj.

A témával kapcsolatban bővebb információt itt találnak az érdeklődők.

Neked ajánljuk

    Tesztek

      Kapcsolódó cikkek

      Súlyos biztonsági rés miatt veszélyben a jelszavak (is)

      Vissza az oldal tetejére