Heartbleed

მასალა ვიკიპედიიდან — თავისუფალი ენციკლოპედია
Jump to navigation Jump to search
Heartbleed-ის შეცდომის ამსახველი ლოგო. ლოგო და სახელი Heartbleed („სისხლდენა გულიდან“) აღნიშნულ საკითხზე საზოგადოების ინფორმირების ხელშეწყობას ემსახურება.[1][2]

Heartbleedუსაფრთხოების შეცდომა კრიპტოგრაფიულ პროგრამულ უზრუნველყოფაში OpenSSL, რომელიც სერვერზე ან კლიენტზე მეხსიერების, მათ შორის, სერვერის პირადი გასაღების, მომხმარებელთა სესიური კუკიებისა და პაროლების არასანქციონირებულად კითხვის საშუალებას იძლევა.[3][4][5][6][7]

ისტორია[რედაქტირება | წყაროს რედაქტირება]

შეცდომა აღმოაჩნდა OpenSSL 1.0.1 ვერსიას და აღმოიფხვრა 1.0.1g ვერსიაში.

შეცდომა შეტანილი იქნა 2011 წლის 31 დეკემბერს TLS heartbeat გაფართოების მხარდაჭერის ნაცვლად კეთილი მიზნებით და 2012 წლის 14 მარტიდან გავრცელდა ვერსიაში OpenSSL 1.0.1.

2014 წლის 7 აპრილს დაანონსდა, რომ OpenSSL-ის ვერსიას 1.0.2-beta და ყველა 1.0.1g-ის წინა ვერსიას 1.0.1 აქვს კრიტიკული შეცდომა მეხსიერების მართვის განხორციელებისას TLS Heartbeat გაფართოებასთან. ეს დეფექტი საშუალებას იძლევა, მიღებულ იქნას 64 კილობაიტი შემთხვევითი მონაცემები ყოველი heartbeat მოთხოვნის გაგზავნის შედეგად. შეცდომა CVE სისტემაში დარეგისტრირებულია ნომრით CVE-2014-0160.[8]

საიტები და ვებსერვისები[რედაქტირება | წყაროს რედაქტირება]

ქვემოთ ჩამოთვლილია საიტები და სერვისები შესაძლო დაინფიცირებით, რომელთაც ურჩიეს საკუთარ მომხმარებლებს პაროლების შეცვლა.

LastPass პაროლების მენეჯერი არ აღმოჩნდა საფრთხის ქვეშ forward secrecy-ის გამოყენების გამო, მაგრამ მომხმარებლებს მაინც ურჩევს პაროლების გამოცვლას იმ მონაცემთა პოტენციური მოპარვის გამო, რომლებიც მან განათავსა საფრთხის ქვეშ მყოფ საიტებზე.[27]

კომპანიაში LogMeIn განაცხადეს, რომ „OpenSSL-ზე დაფუძნებული ბევრი პროგრამული ნაწარმი და სერვისი გააახლეს“.[28]

სქოლიო[რედაქტირება | წყაროს რედაქტირება]

  1. McKenzie, Patrick. (9 აპრილი, 2014) What Heartbleed Can Teach The OSS Community About Marketing. წაკითხვის თარიღი: 10.04.2014.
  2. Biggs, John. (9 აპრილი, 2014) Heartbleed, The First Security Bug With A Cool Logo. TechCrunch. წაკითხვის თარიღი: 10.04.2014.
  3. Mutton, Paul. (8 აპრილი, 2014) Half a million widely trusted websites vulnerable to Heartbleed bug. Netcraft Ltd.. წაკითხვის თარიღი: 08.04.2014.
  4. Heartbleed Flaw Could Reach to Digital Devices, Experts Say“, ნიუ-იორკ ტაიმზი, 11 აპრილი, 2014. წაკითხვის თარიღი: 11.04.2014. 
  5. Chen, Brian X.. “Q. and A. on Heartbleed: A Flaw Missed by the Masses“, ნიუ-იორკ ტაიმზი, 9 აპრილი, 2014. წაკითხვის თარიღი: 10.04.2014. 
  6. Wood, Molly. “Flaw Calls for Altering Passwords, Experts Say“, ნიუ-იორკ ტაიმზი, 10 აპრილი, 2014. წაკითხვის თარიღი: 10.04.2014. 
  7. Manjoo, Farhad. “Users’ Stark Reminder: As Web Grows, It Grows Less Secure“, ნიუ-იორკ ტაიმზი, 10 აპრილი, 2014. წაკითხვის თარიღი: 10.04.2014. 
  8. CVE – CVE-2014-0160. Cve.mitre.org. წაკითხვის თარიღი: 10.042014.
  9. Heartbleed FAQ: Akamai Systems Patched“, Akamai Technologies, 8 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  10. AWS Services Updated to Address OpenSSL Vulnerability“, Amazon Web Services, 8 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  11. Dear readers, please change your Ars account passwords ASAP“, Ars Technica, 8 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  12. All Heartbleed upgrades are now complete“, BitBucket Blog, 9 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  13. Keeping Your BrandVerity Account Safe from the Heartbleed Bug“, BrandVerity Blog, 9 აპრილი, 2014. წაკითხვის თარიღი: 10.04.2014. 
  14. Security: Heartbleed vulnerability“, GitHub, 8 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  15. IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed“, LifeHacker, 8 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  16. The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ“, PeerJ, 9 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  17. Codey, Brendan. “Security Update: We’re going to sign out everyone today, here’s why“, SoundCloud, 9 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  18. Codey, Brendan. “Sourceforge response to heartbleed“, SoundCloud, 10 აპრილი, 2014. წაკითხვის თარიღი: 10.04.2014. 
  19. Heartbleed“, SparkFun, 9 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  20. Heartbleed“, Stripe, 9 აპრილი, 2014. წაკითხვის თარიღი: 10.04.2014. 
  21. Tumblr Staff-Urgent security update (8 აპრილი, 2014). წაკითხვის თარიღი: 09.04.2014.
  22. Hern, Alex. “Heartbleed: don't rush to update passwords, security experts warn“, The Guardian, 9 აპრილი, 2014. წაკითხვის თარიღი: 09.04.2014. 
  23. Grossmeier, Greg. (8 აპრილი, 2014) [Wikitech-l Fwd: Security precaution - Resetting all user sessions today]. ფონდი ვიკიმედია. წაკითხვის თარიღი: 09.04.2014.
  24. Grossmeier, Greg. (10 აპრილი, 2014) Wikimedia's response to the "Heartbleed" security vulnerability. ფონდ ვიკიმედიის ბლოგი. ფონდი ვიკიმედია. წაკითხვის თარიღი: 10.04.2014.
  25. Wunderlist & the Heartbleed OpenSSL Vulnerability (10 აპრილი, 2014).
  26. https://twitter.com/KrisJelbring/status/453559871028613121
  27. Staff. (8 აპრილი, 2014) LastPass and the Heartbleed Bug. LastPass. წაკითხვის თარიღი: 13.04.2014.
  28. LogMeIn and OpenSSL“, LogMeIn. წაკითხვის თარიღი: 10.04.2014. 
მოძიებულია „https://ka.wikipedia.org/w/index.php?title=Heartbleed&oldid=2667222“-დან