Heartbleed ali openSSL ranljivost
Zadnje čase je možno tako na socialnih kanalih kot tudi pri vseh medijih zaslediti poročanje o openSSL ranljivosti.
Zakaj prav za prav gre?
Gre za ranljivost strežniških gesel, sejnih piškotkov ter zasebnih ključev strežnika.
Ranljive openSSL verzije so: OpenSSL 1.0.1 do vključno 1.0.1f
Verzije, ki niso ranljive so: OpenSSL 1.0.1g, OpenSSL 1.0.0. (vse), OpenSSL 0.9.8 (vse)
Ali imate ranljiv strežnik lahko preverite na povezavi: http://sslanalyzer.comodoca.com, v razdelku “Protocol Features / Problems”, poiščite vrstico “Heartbeat”.
Svetujemo, da administratorji spletnih strežnikov: namestijo posodobljeno različico openSSL, zamenjajo šifrirane ključe na srežniku, zamenjajo gesla, zamenjajo sejne piškotke.
Pri openSSL so takoj naredili zasilni poravek za namestitev, ki onemogoči napade in ga najdete na: http://www.openssl.org/source/
Operacijski sistemi s potencialno ogorženostjo zaradi openSSL verzije:
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 Maj 2012) in 5.4 (OpenSSL 1.0.1c 10 Maj 2012)
- FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb. 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
Več o Heartbleedu si lahko prebrete na: http://heartbleed.com
Vir slike: http://heartbleed.com