XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Xəbərdarlıq!!! OpenSSL - də kritik boşluq aşkarlandı.

9 Apr 2014

 Dünən The OpenSSL Project - in mütəxəssisləri populyar kriptoqrafik modul olan OpenSSL - də CVE-2014-0160 kritik boşluğu haqda təhlükəsizlik bülleteni buraxıblar. Belə ki, boşluq TLS/DTLS protokolu üçün Heartbeat (RFC6520) uzantısında zəruri yoxlama prosesinin mövcud olmamasından yaranmışdır. Şirkətinin proqramçısının kiçik səhvi nəticəsində istənilən şəxs OpenSSL-in boşluq versiyası ilə "qorunan" kompyuterlərin əməli yaddaşına birbaşa giriş etmiş olur. Bununla yanaşı xaker əslində şifrələnmiş formada olan məxfi açarlara, istifadəçilərin ad və şifrələrinə tam giriş (full access) imtiyazına sahib olur. Beləliklə isə xakerin sistemə daxil olma haqda haqda heç bir iz qalmır.

Boşluq haqda məlumatı olan hər kimsə OpenSSL 1.0.1 - in versiyası çıxan gündən (2012 mart) demək olar ki, bütün internetdə olan "şifrələnmiş" trafiki dinləyə bilərdi.  

OpenSSL-in boşluq olan versiyası populyar veb serverlər olan Nginx və apache, poçt serverlərdə, İM-serverlərdə, VPN həmçinin bir çox digər proqramlarda istifadə olunur. Bu boşluğun vurduğu zərər isə olduqca böyükdür. OpenSSL - in boşluq olan versiyası ilə işləyən bir neçə əməliyyat sisteminin distributivini sizə təqdim edirik:

Debian Wheezy (stabil), OpenSSL 1.0.1e-2+deb7u4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c) və 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) və 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ MƏRKƏZİ, OpenSSL istifadəçilərini aşkarlanmış kritik boşluq barədə xəbərdarlıq edir! Yaranmış boşluq vasitəsiylə OPEN SSL istifadə olunan serverlərə qoşulma və həmin serverlərdən 64b həcmində istifadəçi şifrələrinin, kredit kart məlumatlarının, cookilərin və bu kimi digər kritik informasiyaların əldə edilməsi mümkündür. KİMM bütün OpenSSL istifadəçilərini boşluğun aradan qaldırımış OpenSSL 1.0.1g versiyasına keçməyə o cümlədən yeni açarlar, sertifikatlar generasiya olunaraq digər qabaqlayıcı təhlükəsizlik tədbirlərini görməyə çağırır. Bundan başqa KİMM OpenSSL istifadəçilərinə şifrələrinin mümkün sızması haqda məlumatların yoxlanılmasını tövsiyyə edir.