Heartbleed
Heartbleed — უსაფრთხოების შეცდომა კრიპტოგრაფიულ პროგრამულ უზრუნველყოფაში OpenSSL, რომელიც სერვერზე ან კლიენტზე მეხსიერების, მათ შორის, სერვერის პირადი გასაღების, მომხმარებელთა სესიური კუკიებისა და პაროლების არასანქციონირებულად კითხვის საშუალებას იძლევა.[3][4][5][6][7]
ისტორია[რედაქტირება | წყაროს რედაქტირება]
შეცდომა აღმოაჩნდა OpenSSL 1.0.1 ვერსიას და აღმოიფხვრა 1.0.1g ვერსიაში.
შეცდომა შეტანილი იქნა 2011 წლის 31 დეკემბერს TLS heartbeat გაფართოების მხარდაჭერის ნაცვლად კეთილი მიზნებით და 2012 წლის 14 მარტიდან გავრცელდა ვერსიაში OpenSSL 1.0.1.
2014 წლის 7 აპრილს დაანონსდა, რომ OpenSSL-ის ვერსიას 1.0.2-beta და ყველა 1.0.1g-ის წინა ვერსიას 1.0.1 აქვს კრიტიკული შეცდომა მეხსიერების მართვის განხორციელებისას TLS Heartbeat გაფართოებასთან. ეს დეფექტი საშუალებას იძლევა, მიღებულ იქნას 64 კილობაიტი შემთხვევითი მონაცემები ყოველი heartbeat მოთხოვნის გაგზავნის შედეგად. შეცდომა CVE სისტემაში დარეგისტრირებულია ნომრით CVE-2014-0160.[8]
საიტები და ვებსერვისები[რედაქტირება | წყაროს რედაქტირება]
ქვემოთ ჩამოთვლილია საიტები და სერვისები შესაძლო დაინფიცირებით, რომელთაც ურჩიეს საკუთარ მომხმარებლებს პაროლების შეცვლა.
LastPass პაროლების მენეჯერი არ აღმოჩნდა საფრთხის ქვეშ forward secrecy-ის გამოყენების გამო, მაგრამ მომხმარებლებს მაინც ურჩევს პაროლების გამოცვლას იმ მონაცემთა პოტენციური მოპარვის გამო, რომლებიც მან განათავსა საფრთხის ქვეშ მყოფ საიტებზე.[27]
კომპანიაში LogMeIn განაცხადეს, რომ „OpenSSL-ზე დაფუძნებული ბევრი პროგრამული ნაწარმი და სერვისი გააახლეს“.[28]
სქოლიო[რედაქტირება | წყაროს რედაქტირება]
- ↑ McKenzie, Patrick. (9 აპრილი, 2014) What Heartbleed Can Teach The OSS Community About Marketing. ციტირების თარიღი: 10.04.2014.
- ↑ Biggs, John. (9 აპრილი, 2014) Heartbleed, The First Security Bug With A Cool Logo. TechCrunch. ციტირების თარიღი: 10.04.2014.
- ↑ Mutton, Paul. (8 აპრილი, 2014) Half a million widely trusted websites vulnerable to Heartbleed bug. Netcraft Ltd.. ციტირების თარიღი: 08.04.2014.
- ↑ Perlroth, Nicole; Hardy, Quentin (11 აპრილი, 2014). „Heartbleed Flaw Could Reach to Digital Devices, Experts Say“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 11.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ Chen, Brian X. (9 აპრილი, 2014). „Q. and A. on Heartbleed: A Flaw Missed by the Masses“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ Wood, Molly (10 აპრილი, 2014). „Flaw Calls for Altering Passwords, Experts Say“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ Manjoo, Farhad (10 აპრილი, 2014). „Users’ Stark Reminder: As Web Grows, It Grows Less Secure“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ CVE – CVE-2014-0160. Cve.mitre.org. ციტირების თარიღი: 10.042014.
- ↑ „Heartbleed FAQ: Akamai Systems Patched“. Akamai Technologies. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „AWS Services Updated to Address OpenSSL Vulnerability“. Amazon Web Services. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „Dear readers, please change your Ars account passwords ASAP“. Ars Technica. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „All Heartbleed upgrades are now complete“. BitBucket Blog. 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „Keeping Your BrandVerity Account Safe from the Heartbleed Bug“. BrandVerity Blog. 9 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „Security: Heartbleed vulnerability“. GitHub. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed“. LifeHacker. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ“. PeerJ. 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ Codey, Brendan (9 აპრილი, 2014). „Security Update: We’re going to sign out everyone today, here’s why“. SoundCloud. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ Codey, Brendan (10 აპრილი, 2014). „Sourceforge response to heartbleed“. SoundCloud. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „Heartbleed“. SparkFun. 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ „Heartbleed“. Stripe. 9 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ Tumblr Staff-Urgent security update (8 აპრილი, 2014). ციტირების თარიღი: 09.04.2014.
- ↑ Hern, Alex (9 აპრილი, 2014). „Heartbleed: don't rush to update passwords, security experts warn“. The Guardian. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|date=-ში (დახმარება) - ↑ Grossmeier, Greg. (8 აპრილი, 2014) [Wikitech-l Fwd: Security precaution - Resetting all user sessions today]. ფონდი ვიკიმედია. ციტირების თარიღი: 09.04.2014.
- ↑ Grossmeier, Greg. (10 აპრილი, 2014) Wikimedia's response to the "Heartbleed" security vulnerability. ფონდ ვიკიმედიის ბლოგი. ფონდი ვიკიმედია. ციტირების თარიღი: 10.04.2014.
- ↑ Wunderlist & the Heartbleed OpenSSL Vulnerability (10 აპრილი, 2014). დაარქივებულია ორიგინალიდან — 2014-04-13. ციტირების თარიღი: 2014-04-12.
- ↑ https://twitter.com/KrisJelbring/status/453559871028613121
- ↑ Staff. (8 აპრილი, 2014) LastPass and the Heartbleed Bug. LastPass. დაარქივებულია ორიგინალიდან — 18.12.2017. ციტირების თარიღი: 13.04.2014.
- ↑ „LogMeIn and OpenSSL“. LogMeIn. დაარქივებულია ორიგინალიდან — 13.04.2014. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი
|accessdate=და|archivedate=-ში (დახმარება)