لطفاً به وب سایت رسمی اطلاعات Heartbleed مراجعه فرمائید: http://heartbleed.com
باگ Heartbleed یک اشکال امنیتی بسیار جدی و خطرناک در کتابخانه محبوب نرم افزاری OpenSSL می باشد. این ضعف اجازه میدهد تا اطلاعات محافظت شده سرقت شود. در شرایط معمول استفاده از رمزگذاری SSL/TLS اینترنت را امن میکند.
SSL/TLS امکان برقرای ارتباط های امن، حفظ حریم خصوصی در اینترنت برای برنامه های کاربردی مانند وب، ایمیل، پیام فوری(IM) و برخی از شبکه های خصوصی مجازی را فراهم میکند.
باگ امنیتی Heartbleed اجازه می دهد تا هر کسی در اینترنت قادر باشد حافظه ی سیستم های محافظت شده توسط نسخه های آسیب پذیر نرم افزار OpenSSL را بخواند و به اطلاعات دسترسی پیدا کند.
نسخه های تحت تأثیر
باگ Heartbleed یک اشکال امنیتی بسیار جدی و خطرناک در کتابخانه محبوب نرم افزاری OpenSSL می باشد. این ضعف اجازه میدهد تا اطلاعات محافظت شده سرقت شود. در شرایط معمول استفاده از رمزگذاری SSL/TLS اینترنت را امن میکند.
SSL/TLS امکان برقرای ارتباط های امن، حفظ حریم خصوصی در اینترنت برای برنامه های کاربردی مانند وب، ایمیل، پیام فوری(IM) و برخی از شبکه های خصوصی مجازی را فراهم میکند.
باگ امنیتی Heartbleed اجازه می دهد تا هر کسی در اینترنت قادر باشد حافظه ی سیستم های محافظت شده توسط نسخه های آسیب پذیر نرم افزار OpenSSL را بخواند و به اطلاعات دسترسی پیدا کند.
نسخه های تحت تأثیر
1.0.1
1.0.2-beta
1.0.1f
1.0.2-beta1
1.0.2-beta
1.0.1f
1.0.2-beta1
آیا شما در معرض خطر هستید؟
نسخه OpenSSL خود را چک کنید:
1) ابتدا به سرور متصل شوید
در سرورهای CentOS/Redhat
نسخه OpenSSL خود را چک کنید:
1) ابتدا به سرور متصل شوید
در سرورهای CentOS/Redhat
rpm -qa openssl*
در سرورهای Ubuntu/Debian
dpkg -l | grep openssl
2) استفاده از ابزارهای آنلاین
http://filippo.io/Heartbleed
راه حل
ارتقای OpenSSL به آخرین ورژن (1.0.1g یا +)
ارتقای OpenSSL به آخرین ورژن (1.0.1g یا +)
- CentOS:
- yum -y update openssl
- Ubuntu:
- sudo apt-get update; sudo apt-get install openssl
شناسایی سرویس هایی که از OpenSSL استفاده میکنند (HTTP, SMTP , ...)
- CentOS:
-
lsof -n | grep ssl | awk '{print $1}' | sort | uniq
-
- Ubuntu:
-
lsof -n | grep ssl | awk '{print $1}' | sort | uniq
-
راه اندازی سرویس ها. توجه داشته باشید که ارتقا سرویس های در حال اجرا تحت تأثیر قرار نخواهد داد و شما باید حتماً این سرویس ها را راه اندازی مجدد(ریستارت) کنید.
سپس دوباره OpenSSL را چک کنید:
سپس دوباره OpenSSL را چک کنید:
- CentOS:
- rpm -qa openssl*
- Ubuntu:
- dpkg -l | grep openssl
