Heartbleed bug

Az Internet egyik legsúlyosabb biztonsági sebezhetősége 2014. április 7-én került napvilágra. Az OpenSSL nevű kriptográfiai szoftverben talált hiba a világ webszervereinek közel kétharmadát érintette, többek között a Google-t, Facebookot, banki rendszereket. Az OpenSSL felelős a felhasználó és a szerver közötti kommunikáció titkosításáért. A felfedezett hiba kihasználásával a támadó a szerver memóriájának egy részéhez közvetlen hozzá tud férni. A felhasználónevek, jelszavak általában itt titkosítás nélkül tárolódnak, illetve kiderült, hogy a kommunikáció titkosításához szükséges rejtjelező kulcsokat is ki lehet nyerni. Az okozott károk felmérését szinte lehetetlenné teszi, hogy a memóriához való hozzáférés gyakorlatilag nyom nélkül valósítható meg.

A szolgáltatók részéről elvárás, hogy frissítsék az hibás OpenSSL szoftvert tartalmazó szervereiket, valamint cseréljék le a rejtjelező kulcsot tartalmazó tanúsítványaikat. Ez utóbbit jellemzően a böngészők címsorában található lakat segítségével lehet megtekinteni, és azt érdemes vizsgálni, hogy a tanúsítvány érvényességének kezdete későbbi-e, mint a hiba nyilvános bejelentésének dátuma.

Amennyiben szolgáltató részéről a fenti két feltétel teljesül, javasolt, hogy a felhasználók változtassanak jelszót.

Az INTEGRITY Kft. frissítette az OpenSSL sebezhető verzióit futtató szervereit, valamint visszavonta az eddig használt tanúsítványát, és újra cserélte azt.
További információkért látogassa meg a http://heartbleed.com oldalt!

Hasznos volt a bejegyzés?

Kapcsolódó bejegyzések