آسیب پذیری بحرانی OpenSSL: لزوم به روز رسانی فوری!

یک آسیب پذیری بحرانی در مجموعه ابزار OpenSSL یافت شده که می تواند منجر به خواندن حافظه سرور توسط نفوذگر و افشای کلید خصوصی مربوط به SSL یا نام کاربری و رمز عبور کاربرانی شود که با استفاده از SSL به سرور مربوطه متصل شده اند. OpenSSL به طور بسیار گسترده در بسیاری از سرورها و سیستم عامل ها در حال استفاده است. این آسیب پذیری در نسخه هایی از OpenSSL که از بیش از دو سال پیش منتشر شده، وجود دارد.

اکیداً توصیه شده که ارتقاء به ورژن ۱٫۰٫۱g انجام شود و در صورتی که از ورژن های قدیمی OpenSSL استفاده کرده اید، کامپایل مجدد با فعال کردن گزینه OPENSSL_NO_HEARTBEATS  انجام شود.

باید توجه داشت که اکثر قریب به اتفاق سرورهای حساس بانک ها و دیگر کسب و کارهای مهم مبتنی بر لینوکس یا یونیکس بوده و از OpenSSL برای برقراری ارتباط مبتنی بر SSL به خصوص بر بستر اینترنت استفاده می کنند، بنابراین این سازمان ها باید برای به روز رسانی فوری اقدام نمایند. به خصوص سازمان هایی که از سیستم عامل های زیر استفاده می کنند، آسیب پذیر هستند:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

اطلاعات مربوط به این آسیب پذیری در اینجا موجود است. شناسه آسیب پذیری CVE-2014-0160 است.

توصیه نامه CERT کارنگی ملون

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.