ענה intval ב 08 לאפריל 2014 #

ל openssl יש הרחבה לפרוטוקול TLS/DTLS שנקראת Heartbeat (rfc6520).
באחת הפונקציות שלו לא הייתה בדיקה של גבולות גישה לזיכרון. השגיאה הקטנה הזו איפשרה לכל אחד לקבל גישה ישירה לקריאה של ה-ram מהמחשבים "המוגנים" על ידי גירסה 1.0.1 של openssl. בין היתר, גישה לram איפשרה קריאה של מפתחות הצפנה וגישה אל כל התוכן שהיה אמור להיות מוצפן. לאחר גישה כזאת לא נשארים שום סימני פריצה בשרתים.

מי שידע על הפירצה יכל להזין לכל הטראפיק המוצפן באינטרנט מאז מרץ 2012 כשאר הגירסה הזו של openssl שוחררה, היות שהגירסה הזו משמשת את שרתי הווב הנפוצים היום (כולל apache & nginx), שרתי דואר אלקטרוני, שרתי הודעות אלקטרוניות, VPN וכל מני תוכנות אחרות.

באופן כללי זה אומר שכל בעלי השרתים צריכים לעדכן מיד לגירסה 1.0.1g של openssl, ליצור מפתחות וסרטיפיקטים חדשים, להודיע למשתמשים שהסיסמאות / מספרי כרטיסי אשרי / נתונים אחרים - פוטנציאלית נגנבו.

אפשר לשאר שאם מישהו האזין לתעבורה מוצפנת - האתרים הגדולים יותר היו מטרה למתקפה כזו, לכן בתור משתמשים - כדאי להחליף את הסיסמאות והסרטיפיקטים לחשבונות amazon, azure, github, assembla, travis, gmail, etc

ענה razand ב 08 לאפריל 2014 #

זה כולל את Paypel?

ענה ldbrgr ב 08 לאפריל 2014 #

כן, כמו שאלכס מציין "האתרים הגדולים יותר היו מטרה למתקפה כזו".
עדיין - זה לא אומר שPayPal או אתר גדול אחר נפרץ.

ענה razand ב 08 לאפריל 2014 #

אני מתכוון פוטנציאלית
יש סיכוי שנגנב מידע?

ענה ldbrgr ב 08 לאפריל 2014 #

פוטנציאלית, כן.