آسیب پذیری Open SSL

لطفاً به وب سایت رسمی اطلاعات Heartbleed مراجعه فرمائید: http://heartbleed.com

باگ Heartbleed یک اشکال امنیتی بسیار جدی و خطرناک در کتابخانه محبوب نرم افزاری OpenSSL می باشد. این ضعف اجازه میدهد تا اطلاعات محافظت شده سرقت شود. در شرایط معمول استفاده از رمزگذاری SSL/TLS اینترنت را امن میکند.

SSL/TLS امکان برقرای ارتباط های امن، حفظ حریم خصوصی در اینترنت برای برنامه های کاربردی مانند وب، ایمیل، پیام فوری(IM) و برخی از شبکه های خصوصی مجازی را فراهم میکند.
باگ امنیتی Heartbleed اجازه می دهد تا هر کسی در اینترنت قادر باشد حافظه ی سیستم های محافظت شده توسط نسخه های آسیب پذیر نرم افزار OpenSSL را بخواند و به اطلاعات دسترسی پیدا کند.

نسخه های تحت تأثیر
1.0.1
1.0.2-beta
1.0.1f
1.0.2-beta1
آیا شما در معرض خطر هستید؟
نسخه OpenSSL خود را چک کنید:
1) ابتدا به سرور متصل شوید
در سرورهای CentOS/Redhat
rpm -qa openssl* 
در سرورهای Ubuntu/Debian
dpkg -l | grep openssl
2) استفاده از ابزارهای آنلاین
http://filippo.io/Heartbleed
راه حل
ارتقای OpenSSL به آخرین ورژن (1.0.1g یا +)

  • CentOS:
    • yum -y update openssl
  • Ubuntu:
    • sudo apt-get update; sudo apt-get install openssl

شناسایی سرویس هایی که از OpenSSL استفاده میکنند (HTTP, SMTP , ...)

  • CentOS:
    • lsof -n | grep ssl | awk '{print $1}' | sort | uniq
  • Ubuntu:
    • lsof -n | grep ssl | awk '{print $1}' | sort | uniq

راه اندازی سرویس ها. توجه داشته باشید که ارتقا سرویس های در حال اجرا تحت تأثیر قرار نخواهد داد و شما باید حتماً این سرویس ها را راه اندازی مجدد(ریستارت) کنید.
سپس دوباره OpenSSL را چک کنید:

  • CentOS:
    • rpm -qa openssl*
  • Ubuntu:
    • dpkg -l | grep openssl

آیا این پاسخ به شما کمک کرد؟

 چاپ این مقاله