Varnost

Heartbleed ali openSSL ranljivost

Zadnje čase je možno tako na socialnih kanalih kot tudi pri vseh medijih zaslediti poročanje o openSSL ranljivosti.

Zakaj prav za prav gre?


Gre za ranljivost strežniških gesel, sejnih piškotkov ter zasebnih ključev strežnika.

Ranljive openSSL verzije so: OpenSSL 1.0.1 do vključno 1.0.1f
Verzije, ki niso ranljive so: OpenSSL 1.0.1g, OpenSSL 1.0.0. (vse), OpenSSL 0.9.8 (vse)

Ali imate ranljiv strežnik lahko preverite na povezavi:  http://sslanalyzer.comodoca.com, v razdelku “Protocol Features / Problems”, poiščite vrstico “Heartbeat”.

Svetujemo, da administratorji spletnih strežnikov:
 namestijo posodobljeno različico openSSLzamenjajo šifrirane ključe na srežnikuzamenjajo geslazamenjajo sejne piškotke.

Pri openSSL so takoj naredili zasilni poravek za namestitev, ki onemogoči napade in ga najdete na:
 http://www.openssl.org/source/

Operacijski sistemi s potencialno ogorženostjo zaradi openSSL verzije:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 Maj 2012) in 5.4 (OpenSSL 1.0.1c 10 Maj 2012)
  • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb. 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Več o Heartbleedu si lahko prebrete na: http://heartbleed.com 
Vir slike: http://heartbleed.com

Related Posts