Heartbleed

მასალა ვიკიპედიიდან — თავისუფალი ენციკლოპედია
Jump to navigation Jump to search
Heartbleed-ის შეცდომის ამსახველი ლოგო. ლოგო და სახელი Heartbleed („სისხლდენა გულიდან“) აღნიშნულ საკითხზე საზოგადოების ინფორმირების ხელშეწყობას ემსახურება.[1][2]

Heartbleedუსაფრთხოების შეცდომა კრიპტოგრაფიულ პროგრამულ უზრუნველყოფაში OpenSSL, რომელიც სერვერზე ან კლიენტზე მეხსიერების, მათ შორის, სერვერის პირადი გასაღების, მომხმარებელთა სესიური კუკიებისა და პაროლების არასანქციონირებულად კითხვის საშუალებას იძლევა.[3][4][5][6][7]

ისტორია[რედაქტირება | წყაროს რედაქტირება]

შეცდომა აღმოაჩნდა OpenSSL 1.0.1 ვერსიას და აღმოიფხვრა 1.0.1g ვერსიაში.

შეცდომა შეტანილი იქნა 2011 წლის 31 დეკემბერს TLS heartbeat გაფართოების მხარდაჭერის ნაცვლად კეთილი მიზნებით და 2012 წლის 14 მარტიდან გავრცელდა ვერსიაში OpenSSL 1.0.1.

2014 წლის 7 აპრილს დაანონსდა, რომ OpenSSL-ის ვერსიას 1.0.2-beta და ყველა 1.0.1g-ის წინა ვერსიას 1.0.1 აქვს კრიტიკული შეცდომა მეხსიერების მართვის განხორციელებისას TLS Heartbeat გაფართოებასთან. ეს დეფექტი საშუალებას იძლევა, მიღებულ იქნას 64 კილობაიტი შემთხვევითი მონაცემები ყოველი heartbeat მოთხოვნის გაგზავნის შედეგად. შეცდომა CVE სისტემაში დარეგისტრირებულია ნომრით CVE-2014-0160.[8]

საიტები და ვებსერვისები[რედაქტირება | წყაროს რედაქტირება]

ქვემოთ ჩამოთვლილია საიტები და სერვისები შესაძლო დაინფიცირებით, რომელთაც ურჩიეს საკუთარ მომხმარებლებს პაროლების შეცვლა.

LastPass პაროლების მენეჯერი არ აღმოჩნდა საფრთხის ქვეშ forward secrecy-ის გამოყენების გამო, მაგრამ მომხმარებლებს მაინც ურჩევს პაროლების გამოცვლას იმ მონაცემთა პოტენციური მოპარვის გამო, რომლებიც მან განათავსა საფრთხის ქვეშ მყოფ საიტებზე.[27]

კომპანიაში LogMeIn განაცხადეს, რომ „OpenSSL-ზე დაფუძნებული ბევრი პროგრამული ნაწარმი და სერვისი გააახლეს“.[28]

სქოლიო[რედაქტირება | წყაროს რედაქტირება]

  1. McKenzie, Patrick. (9 აპრილი, 2014) What Heartbleed Can Teach The OSS Community About Marketing. ციტირების თარიღი: 10.04.2014.
  2. Biggs, John. (9 აპრილი, 2014) Heartbleed, The First Security Bug With A Cool Logo. TechCrunch. ციტირების თარიღი: 10.04.2014.
  3. Mutton, Paul. (8 აპრილი, 2014) Half a million widely trusted websites vulnerable to Heartbleed bug. Netcraft Ltd.. ციტირების თარიღი: 08.04.2014.
  4. Heartbleed Flaw Could Reach to Digital Devices, Experts Say“, ნიუ-იორკ ტაიმზი, 11 აპრილი, 2014. ციტირების თარიღი: 11.04.2014. 
  5. Chen, Brian X.. “Q. and A. on Heartbleed: A Flaw Missed by the Masses“, ნიუ-იორკ ტაიმზი, 9 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. 
  6. Wood, Molly. “Flaw Calls for Altering Passwords, Experts Say“, ნიუ-იორკ ტაიმზი, 10 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. 
  7. Manjoo, Farhad. “Users’ Stark Reminder: As Web Grows, It Grows Less Secure“, ნიუ-იორკ ტაიმზი, 10 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. 
  8. CVE – CVE-2014-0160. Cve.mitre.org. ციტირების თარიღი: 10.042014.
  9. Heartbleed FAQ: Akamai Systems Patched“, Akamai Technologies, 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  10. AWS Services Updated to Address OpenSSL Vulnerability“, Amazon Web Services, 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  11. Dear readers, please change your Ars account passwords ASAP“, Ars Technica, 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  12. All Heartbleed upgrades are now complete“, BitBucket Blog, 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  13. Keeping Your BrandVerity Account Safe from the Heartbleed Bug“, BrandVerity Blog, 9 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. 
  14. Security: Heartbleed vulnerability“, GitHub, 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  15. IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed“, LifeHacker, 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  16. The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ“, PeerJ, 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  17. Codey, Brendan. “Security Update: We’re going to sign out everyone today, here’s why“, SoundCloud, 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  18. Codey, Brendan. “Sourceforge response to heartbleed“, SoundCloud, 10 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. 
  19. Heartbleed“, SparkFun, 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  20. Heartbleed“, Stripe, 9 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. 
  21. Tumblr Staff-Urgent security update (8 აპრილი, 2014). ციტირების თარიღი: 09.04.2014.
  22. Hern, Alex. “Heartbleed: don't rush to update passwords, security experts warn“, The Guardian, 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. 
  23. Grossmeier, Greg. (8 აპრილი, 2014) [Wikitech-l Fwd: Security precaution - Resetting all user sessions today]. ფონდი ვიკიმედია. ციტირების თარიღი: 09.04.2014.
  24. Grossmeier, Greg. (10 აპრილი, 2014) Wikimedia's response to the "Heartbleed" security vulnerability. ფონდ ვიკიმედიის ბლოგი. ფონდი ვიკიმედია. ციტირების თარიღი: 10.04.2014.
  25. Wunderlist & the Heartbleed OpenSSL Vulnerability (10 აპრილი, 2014).
  26. https://twitter.com/KrisJelbring/status/453559871028613121
  27. Staff. (8 აპრილი, 2014) LastPass and the Heartbleed Bug. LastPass. ციტირების თარიღი: 13.04.2014.
  28. LogMeIn and OpenSSL“, LogMeIn. ციტირების თარიღი: 10.04.2014. 
მოძიებულია „https://ka.wikipedia.org/w/index.php?title=Heartbleed&oldid=2667222“-დან