הבאג הוכנס בגירסא 1.0.1 של OpenSSL, וכל הגירסאות מ 1.0.1 ועד ל 1.0.1f (כולל) - פגיעות. גירסאות לפני 1.0.1 (כלומר 1.0.0, והגירסאות שמתחילות ב 0) - אינן פגיעות.

מי שמושפע מהבאג - עליו לשדרג לגירסא 1.0.1g של OpenSSL, ולאחר מכן להפעיל מחדש את כל האפליקציות המשתמשות בספריה זו. אם מישהו בטעות קימפל בקימפול סטטי לתוך האפליקציה שלו, יש לקמפל את האפליקציה מחדש קודם לכן לאחר שדרוג OpenSSL.

הבאג מאפשר לקרוא בצורה חופשית למדי מידע מהזיכרון של השרת, כולל את מפתחות ההצפנה, מה שמאפשר בעצם לפענח כל מידע מוצפן שמועבר כעת (והועבר בעבר, אם נשמר על ידי האזנה על ידי התוקף) כאילו הועבר בצורה לא מוצפנת כלל.

רצוי ומומלץ, אחר השדרוג, להנפיק תעודות SSL חדשות המבוססות על private key חדש, משום שייתכן שהקודם נגנב, ואז תיקון הבאג לא יעזור בשום דבר.

למידע נוסף, קראו כאן: http://heartbleed.com

נמאס לכם לזכור סיסמאות? לחצו כאן!

יש ברשותי קבצי PFX שאני מתקין על חלק מהשרתים שלנו, משתמש ב FILEZILLA עם TLS שהנפקתי דרכה, שרת OPENVPN (בסופו של דבר הצלחתי להקים את השרת דרך הממשק של הראוטר).
איך אני יכול לדעת בצורה פשוטה האם אני בקבוצת הסיכון, מה אני צריך להחליף/לחדש?

תודה מראש.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תריץ בשורת הפקודה: openssl version:

קוד:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

גם אם אתה רואה גירסא שנמצאת בטווח שאמרתי, זה עלול להיות בסדר אם יש לך הפצה שעושה backport לתיקונים ומשאירה את שם הגירסא כפי שהיה (דרך מעולה לבלבל את האוייב: אתה) והתקנת עדכונים לאחר מועד הפצת התיקונים (שזה ביומיים האחרונים). במקרה זה תצטרך לבדוק ב advisory של ההפצה הספציפית שלך, מאיזו גירסא של החבילה שלהם הבאג תוקן, ולבדוק את גירסת החבילה שמותקנת (למשל ב RH/Fedora/CentOS עם rpm -qa | grep openssl) כדי לראות אם זה כולל את העדכון...

צריך לשים לב:

הם טוענים באתר שלהם שהגירסה הבאה פגיעה:
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

אבל המדריך הזה טוען שכל עוד הספרייה נבנתה ב-7 באפריל או מאוחר יותר, אז הכל בסדר.

וזה באמת נכון לפי ה-changelog:

ציטוט:

openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium * SECURITY UPDATE: side-channel attack on Montgomery ladder implementation - debian/patches/CVE-2014-0076.patch: add and use constant time swap in crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c, util/libeay.num. - CVE-2014-0076 * SECURITY UPDATE: memory disclosure in TLS heartbeat extension - debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c. - CVE-2014-0160 -- Marc Deslauriers <email address hidden> Mon, 07 Apr 2014 15:45:14 -0400

מצחיק רק שהם כותבים urgency=medium בזמן שכל שאר העולם מתייחס לזה כדבר חמור שדורש תיקון בדחיפות...

עריכה:
בעצם לא שמתי לב שהמספר אחרי הנקודה זה 11, כשבתיקון זה 12...
בכל מקרה עדיין מידע שיכול לעזור

זו לא תהיה הפעם הראשונה שבה אובונטו/דביאן עושים שטויות ולא מבינים באבטחה:

http://research.swtch.com/openssl

(מצד שני, גם מישהו מ openssl היה אשם בכך שחשב שזה בסדר לאשר לו להוריד את זה מבלי לבדוק מדוע זה שם... אבל הוא יותר אמר "אם זה עוזר לך בדיבאגינג, תוריד את זה" - במובן של - אם אתה מנסה למצוא באג כלשהו - זה לא בדיוק אישור להוריד קוד עבור כל מי שמשתמש בדביאן/אובונטו - ומצד שלישי, עובדה שבהפצה המקורית של openssl זה לא ירד כי זה כנראה היה זוכה ל peer review רציני יותר - אז עדיין לא כדאי דביאן/אובונטו )