באג באבטחה של OpenSSL
מישהו הבין בדיוק מה קרה? ראיתי גם שהרבה שרתים הושבטו עד שהבאג יתוקן.
5 תשובות
ל openssl יש הרחבה לפרוטוקול TLS/DTLS שנקראת Heartbeat (rfc6520).
באחת הפונקציות שלו לא הייתה בדיקה של גבולות גישה לזיכרון. השגיאה הקטנה הזו איפשרה לכל אחד לקבל גישה ישירה לקריאה של ה-ram מהמחשבים "המוגנים" על ידי גירסה 1.0.1 של openssl. בין היתר, גישה לram איפשרה קריאה של מפתחות הצפנה וגישה אל כל התוכן שהיה אמור להיות מוצפן. לאחר גישה כזאת לא נשארים שום סימני פריצה בשרתים.
מי שידע על הפירצה יכל להזין לכל הטראפיק המוצפן באינטרנט מאז מרץ 2012 כשאר הגירסה הזו של openssl שוחררה, היות שהגירסה הזו משמשת את שרתי הווב הנפוצים היום (כולל apache & nginx), שרתי דואר אלקטרוני, שרתי הודעות אלקטרוניות, VPN וכל מני תוכנות אחרות.
באופן כללי זה אומר שכל בעלי השרתים צריכים לעדכן מיד לגירסה 1.0.1g של openssl, ליצור מפתחות וסרטיפיקטים חדשים, להודיע למשתמשים שהסיסמאות / מספרי כרטיסי אשרי / נתונים אחרים - פוטנציאלית נגנבו.
אפשר לשאר שאם מישהו האזין לתעבורה מוצפנת - האתרים הגדולים יותר היו מטרה למתקפה כזו, לכן בתור משתמשים - כדאי להחליף את הסיסמאות והסרטיפיקטים לחשבונות amazon, azure, github, assembla, travis, gmail, etc
כן, כמו שאלכס מציין "האתרים הגדולים יותר היו מטרה למתקפה כזו".
עדיין - זה לא אומר שPayPal או אתר גדול אחר נפרץ.