GlobalSign. Important Security Advisory Blog: Heartbleed Bug
Η ευπάθεια Heartbleed είναι κάτι που οι χρήστες OpenSSL πρέπει να λάβουν σοβαρά υπόψη τους, επειδή επιτρέπει σε κάποιο κακόβουλο –αντίπαλο- να αποσπάσει δεδομένα από τμήματα της μνήμης του web server.
Τα δεδομένα του είδους, μπορούν να περιλαμβάνουν ευαίσθητο υλικό, όπως το private key του server, αλλά δεν περιορίζονται σε αυτό, αφού όσα δεδομένα βρίσκονται στη μνήμη του server βρίσκονται σε κίνδυνο, συμπεριλαμβανομένων και των ευαίσθητων δεδομένων των πελατών επίσης. Μάλιστα, το Heartbleed bug δεν περιορίζεται στους web servers, αφού είστε σε κίνδυνο ακόμα και αν χρησιμοποιείτε VPN που βασίζεται στο SSL και το οποίο με τη σειρά του χρησιμοποιεί το OpenSSL.
Η πρόσβαση σε τέτοια ευαίσθητης φύσης δεδομένα δημιουργεί μία σοβαρή ευπάθεια επειδή οι επιτιθέμενοι μπορούν να τη χρησιμοποιήσουν για να αποκωδικοποιήσουν επικοινωνίες στο παρελθόν, –όταν δεν έχει ρυθμιστεί το Perfect Forward Secrecy, PFS- να κλέψουν κρίσιμης σημασίας δεδομένα και στην περίπτωση του “συμβιβασμού” του ιδιωτικού κλειδιού (private key), δυνατότητα για τον επιτιθέμενο να πάρει υπό τον έλεγχο του τον σχετικό server.
Συστάσεις και λύση προβλήματος
Συνιστούμε σε όσους χρησιμοποιούν το OpenSSL να:
- Βεβαιωθούν για το ποια έκδοση του OpenSSL χρησιμοποιούν και να αναβαθμίσουν τα συστήματα τους με τη κατάλληλη ενημέρωση κώδικα από το OpenSSL.
- Να κάνουν αίτηση για επανέκδοση (με νέο ιδιωτικό κλειδί-private key) του πιστοποιητικού SSL που είχαν εγκαταστήσει σε servers που επηρεάζονται από το Heartbleed bug, να εγκαταστήσουν το νέο πιστοποιητικό και στην συνέχεια να ζητήσουν την ανάκληση του παλαιού πιστοποιητικού.
- Να χρησιμοποιήσουν το εργαλείο SSL Configuration Checker tool της GlobalSign για να δοκιμάσουν εκ’ νέου τον server τους για την ευπάθεια Heartbleed
H GlobalSign προσφέρει δωρεάν επανεκδόσεις στους άμεσους πελάτες της, οπότε αν είστε πελάτης της GlobalSign που έχει επηρεαστεί από το Heartbleed bug, παρακαλούμε επισκεφτείτε το κέντρο υποστήριξης για οδηγίες σχετικά με την επανέκδοση του SSL Certificate.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.