Αν «τρέχετε» κάποιο server με OpenSSL 1.0.1 έως 1.0.1f είναι απολύτως απαραίτητο να αναβαθμίσετε σε OpenSSL 1.0.1g άμεσα. Οι εγκαταστάσεις του OpenSSL πριν την έκδοση 1.0.1 δεν επηρεάζονται από το κενό ασφάλειας, ωστόσο οι χρήστες του OpenSSL 1.0.2-beta υποχρεώνονται και αυτοί να αντιμετωπίσουν την ευπάθεια.
Το Heartbleed.com έχει αναρτήσει μία λεπτομερή επεξήγηση για το πρόβλημα, το οποίο εντοπίζεται στα SSL/ TSL πρωτόκολλα (Secure Sockets Layer, Transport Security Layer) κρυπτογράφησης του ανοιχτού λογισμικού OpenSSL που χρησιμοποιείται για τη δημιουργία πιστοποιητικών διακομιστών. Το πρόβλημα που επηρεάζει μερικές παλαιότερες εκδόσεις του ιδιαίτερα δημοφιλούς internet encryption λογισμικού, δίνει τη δυνατότητα στον επιτιθέμενο να υποκλέψει ασφαλές περιεχόμενο αλλά και τα κλειδιά κρυπτογράφησης που ασφαλίζουν το συγκεκριμένο περιεχόμενο.
Πρόκειται για μία ακόμα πιο σημαντική ευπάθεια από αυτή του SSL bug της Apple που άφηνε εκτεθειμένα τα συστήματα σε επιθέσεις τύπου man-in-the-middle, επειδή το Heartbleed bug επηρεάζει τη κίνηση και αποκαλύπτει κρυπτογραφημένα κλειδιά που θα μπορούσαν να οδηγήσουν σε ένα σωρό άλλους «συμβιβασμούς» ενώ είναι πιθανό να επηρεάζει το 66% των ιστοσελίδων παγκοσμίως.
Το bug ανακαλύφθηκε ανεξάρτητα από την εταιρεία ασφάλειας Codenomicon και ένα μηχανικό ασφάλειας της Google. Πριν δημοσιοποιηθεί η ευπάθεια, ένας αριθμός παρόχων OpenSSL (ψηφιακών πιστοποιητικών διακομιστή) ειδοποιήθηκαν για να τους δοθεί χρόνος να αντιμετωπίσουν την ευπάθεια πριν γνωστοποιηθεί. Παρόλα αυτά, δεν είναι όλοι έτοιμοι και επομένως ορισμένοι θα χρειαστούν κάποιες ώρες για να ετοιμάσουν σχετικό patch.
Site: TheNextWeb
ΣΧΟΛΙΑ (66)
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώραΔημοσίευση ως Επισκέπτης
· Αποσύνδεση