Bug-ul Heartbleed (OpenSSL)

· In anunturi de securitate, Noutati

Despre

Bug-ul denumit “The Heartbleed Bug” este o vulnerabilitate critică a librăriei de funcții criptografice OpenSSL. Această vulnerabilitate permite accesul la informații ce sunt protejate în mod normal de utilizarea criptării SSL/TLS. Criptarea folosind SSL/TLS pune la dispoziție mecanisme de securizare a datelor ce sunt transmise prin Internet de către aplicații pentru web, email, mesagerie instant și rețele virtuale private (VPN).
Bug-ul Heartbleed permite oricărei persoane ce are acces la fluxul de date criptate să citească o porțiune a memoriei sistemelor ce folosesc OpenSSL pentru criptare. Acest lucru duce la compromiterea cheilor secrete folosite în criptarea unui flux de date, chei ce pot fi folosite pentru decriptarea în timp real, pe resurse hardware comune, a întregului flux, bug-ul permițând astfel unui atacator accesul la datele transmise prin intermediul Internetului, date ce pot fi: nume de utilizator și parole, email-uri, conversații, etc.

Exact, ce date pot fi extrase ?

Din testele efectuate de terți au fost trase următoarele concluzii:

  1. serverele ce pun la dispoziție servicii criptate pot fi atacate fără ca atacatorul să lase nici o urmă;
  2. fără a fi necesare date suplimentare de acces, este posibilă extragerea de pe servere a cheilor private corespunzătoare certificatelor digitale utilizate pentru criptarea comunicării;
  3. după extragerea cheilor private, toate datele transmise printr-o conexiune ce folosește certificatul digital corespunzător cheii extrase pot fi citite.

Cum ne putem proteja ?

Cât timp folosiți o versiune vulnerabilă de OpenSSL nu există nici o modalitate de protecție. Pentru ca datele să fie în siguranță trebuie să actualizați versiune de OpenSSL folosită în cadrul sistemului de operare. Sunt disponibile deja noi versiuni de OpenSSL ce au rezolvat această problemă. Ele sunt disponibile prin canalele oficiale de distribuție a actualizărilor sistemelor de operare sau direct de la OpenSSL.

Ce versiuni de OpenSSL sunt afectate ?

Versiunile de OpenSSL:

  • OpenSSL 1.0.1 la 1.0.1f (inclusiv) sunt vulnerabile
  • OpenSSL 1.0.1g nu este vulnerabil
  • OpenSSL 1.0.0 nu este vulnerabil
  • OpenSSL 0.9.8 nu este vulnerabil

Bug-ul a fost introdus în OpenSSL în Decembrie 2011 și este prezent începând cu versiunea 1.0.1 a OpenSSL din 14 Martie 2012. OpenSSL 1.0.1g lansat pe 7 Aprilie 2014 rezolvă acest bug.

Acest articol este o traducere parțială a sursei disponibile la http://heartbleed.com/.

 
If you enjoyed this article, please consider sharing it!
Reddit Facebook Twitter Delicious

Comments are closed.