דימום בלב - בעיה קריטית באבטחה של openssl
-
פורסם בימים האחרונים. ואני קבלתי על זה מייל ממחלקת האבטחה של אמזון.
שיש בעיה במחלקה של openssl של דליפת זיכרון. דבר שיכול לגרום שהלקוח שמתחבר לשרת יכול באיזה שהוא דרך לקבל קטעים מהזיכרון וכן לדעת את המפתח הפרטי. ססמאות ועוד כל מה שנמצא על הזיכרון הנדיף של המחשב. אני הבנתי שמדובר בשרת שמפעיל את פרוטוקול https .
לחור אבטחה קוראים דימום בלב. כי זה נמצא בתוך החלק שנקרא "פעימות לב" HEARTBEATS . בתוך openssl.
הדרך לפתור את הבעיה זה שלא יהיה את HEARTBEATS ב openssl עד שיתקנו אותו.
לכן צריך דחוף לשדרג את ה מחלקה לגירסה. 1.0.1g .
או לקמפל את זה בלי HEARTBEATSכל האמור זה בשרתים שמתבססים על openssl. שזה 66% אחוז מהשרתים בעולם.
אתר עם הסבר על הבאג.
יש לציין שהבאג הזה קיים כבר שנתיים. ככה שלא ידוע מי ומה השתמש בזה. הפריצה הזאת לא משאירה עקבות. ולכן צריך גם ליצור מפתחות חדשים.
פורסם במקור בפורום CODE613 ב10/04/2014 10:44 (+03:00)