V ponedeljek, 7. aprila, je bila v priljubljeni kriptografski knjižnici OpenSSL odkrita velika ranljivost, znana kot "Heartbleed", ki se pogosto uporablja z aplikacijami in spletnimi strežniki. Spletna mesta in storitve po vsem internetu so tako zaposlene s popravkom te ranljivosti in posodabljanjem certifikatov SSL, da bi zaščitili svoje stranke. Kot rečeno, so OpenSSL v1.0.1 do 1.0.1f (vključno) ranljive in OpenSSL 1.0.1g, ki je bil izdan 7. aprila 2014, odpravlja to napako.
Izvleček s Heartbleed.com pravi,
Heartbleed Bug je resna ranljivost v priljubljeni knjižnici kriptografske programske opreme OpenSSL. Ta pomanjkljivost omogoča krajo informacij, ki so v normalnih pogojih zaščitene s šifriranjem SSL/TLS, ki se uporablja za zaščito interneta. SSL/TLS zagotavlja komunikacijsko varnost in zasebnost prek interneta za aplikacije, kot so splet, e-pošta, takojšnje sporočanje (IM) in nekatera navidezna zasebna omrežja (VPN).
Napaka Heartbleed omogoča vsakomur v internetu branje pomnilnika sistemov, zaščitenih z ranljivimi različicami programske opreme OpenSSL. To napadalcem omogoča prisluškovanje komunikacijam, krajo podatkov neposredno od storitev in uporabnikov ter lažno predstavljanje storitev in uporabnikov.
Preverite, ali na vaše spletno mesto ali telefon Android vpliva hrošča Heartbleed –
Obstaja nekaj storitev, ki vam lahko povedo, ali je bilo spletno mesto, ki ste mu zaupali svoje podatke, ali je še vedno ranljivo in kdaj je bilo njegovo potrdilo posodobljeno.
Test Heartbleed Filippa Valsorde – filippo.io/Heartbleed
Vnesite URL ali ime gostitelja, da preizkusite svoj strežnik za Heartbleed (CVE-2014-0160). Tako lahko določite vrata example.com:4433. 443 privzeto.
LastPass Heartbleed Checker – lastpass.com/heartbleed
Preverite, ali je spletno mesto ranljivo za Heartbleed. Prikazuje strežniško programsko opremo spletnega mesta, pove, ali je bila ranljiva in ali je potrdilo SSL zdaj varno in kdaj je bilo nazadnje ustvarjeno.
Chromebleed (razširitev za Google Chrome)
Prikaže opozorilo, če na spletno mesto, ki ga brskate, vpliva hrošča Heartbleed. Preveri URL strani s pomočjo Filippove storitve. Uporabno, če spletnih mest ne želite preverjati ročno.
Mashable je izpolnil zanimiv seznam dobro znanih spletnih mest, ki navaja njihovo trenutno stanje, na primer, ali so bila prizadeta in ali bi morali spremeniti svoje geslo.
Heartbleed Detector za Android –
Uporabniki Androida lahko preprosto preverijo, ali je njihova naprava Android ranljiva za hrošče HeartBleed z brezplačno aplikacijo, imenovano »Heartbleed Detector« podjetja Lookout Mobile Security. Aplikacija določa, katero različico OpenSSL uporablja vaša naprava. Če vaša naprava izvaja eno od prizadetih različic OpenSSL, nato preveri, ali je določeno ranljivo vedenje omogočeno ali ne.
Če pa je vaša naprava ranljiva, ni potrebno ukrepati, razen če Google ali proizvajalec vaše naprave izda popravek.
Oznake: AndroidSecurity