09-04-2014, 00:49
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,776
|
|
באג אבטחה חמור ב OpenSSL - המכונה "Heartbleed"
הבאג הוכנס בגירסא 1.0.1 של OpenSSL, וכל הגירסאות מ 1.0.1 ועד ל 1.0.1f (כולל) - פגיעות. גירסאות לפני 1.0.1 (כלומר 1.0.0, והגירסאות שמתחילות ב 0) - אינן פגיעות.
מי שמושפע מהבאג - עליו לשדרג לגירסא 1.0.1g של OpenSSL, ולאחר מכן להפעיל מחדש את כל האפליקציות המשתמשות בספריה זו. אם מישהו בטעות קימפל בקימפול סטטי לתוך האפליקציה שלו, יש לקמפל את האפליקציה מחדש קודם לכן לאחר שדרוג OpenSSL.
הבאג מאפשר לקרוא בצורה חופשית למדי מידע מהזיכרון של השרת, כולל את מפתחות ההצפנה, מה שמאפשר בעצם לפענח כל מידע מוצפן שמועבר כעת (והועבר בעבר, אם נשמר על ידי האזנה על ידי התוקף) כאילו הועבר בצורה לא מוצפנת כלל.
רצוי ומומלץ, אחר השדרוג, להנפיק תעודות SSL חדשות המבוססות על private key חדש, משום שייתכן שהקודם נגנב, ואז תיקון הבאג לא יעזור בשום דבר.
למידע נוסף, קראו כאן: http://heartbleed.com
|