Heartbleed

Heartbleed-ის შეცდომის ამსახველი ლოგო. ლოგო და სახელი Heartbleed („სისხლდენა გულიდან“) აღნიშნულ საკითხზე საზოგადოების ინფორმირების ხელშეწყობას ემსახურება.[1][2]

Heartbleedუსაფრთხოების შეცდომა კრიპტოგრაფიულ პროგრამულ უზრუნველყოფაში OpenSSL, რომელიც სერვერზე ან კლიენტზე მეხსიერების, მათ შორის, სერვერის პირადი გასაღების, მომხმარებელთა სესიური კუკიებისა და პაროლების არასანქციონირებულად კითხვის საშუალებას იძლევა.[3][4][5][6][7]

ისტორია

შეცდომა აღმოაჩნდა OpenSSL 1.0.1 ვერსიას და აღმოიფხვრა 1.0.1g ვერსიაში.

შეცდომა შეტანილი იქნა 2011 წლის 31 დეკემბერს TLS heartbeat გაფართოების მხარდაჭერის ნაცვლად კეთილი მიზნებით და 2012 წლის 14 მარტიდან გავრცელდა ვერსიაში OpenSSL 1.0.1.

2014 წლის 7 აპრილს დაანონსდა, რომ OpenSSL-ის ვერსიას 1.0.2-beta და ყველა 1.0.1g-ის წინა ვერსიას 1.0.1 აქვს კრიტიკული შეცდომა მეხსიერების მართვის განხორციელებისას TLS Heartbeat გაფართოებასთან. ეს დეფექტი საშუალებას იძლევა, მიღებულ იქნას 64 კილობაიტი შემთხვევითი მონაცემები ყოველი heartbeat მოთხოვნის გაგზავნის შედეგად. შეცდომა CVE სისტემაში დარეგისტრირებულია ნომრით CVE-2014-0160.[8]

საიტები და ვებსერვისები

ქვემოთ ჩამოთვლილია საიტები და სერვისები შესაძლო დაინფიცირებით, რომელთაც ურჩიეს საკუთარ მომხმარებლებს პაროლების შეცვლა.

LastPass პაროლების მენეჯერი არ აღმოჩნდა საფრთხის ქვეშ forward secrecy-ის გამოყენების გამო, მაგრამ მომხმარებლებს მაინც ურჩევს პაროლების გამოცვლას იმ მონაცემთა პოტენციური მოპარვის გამო, რომლებიც მან განათავსა საფრთხის ქვეშ მყოფ საიტებზე.[27]

კომპანიაში LogMeIn განაცხადეს, რომ „OpenSSL-ზე დაფუძნებული ბევრი პროგრამული ნაწარმი და სერვისი გააახლეს“.[28]

სქოლიო

  1. McKenzie, Patrick. (9 აპრილი, 2014) What Heartbleed Can Teach The OSS Community About Marketing. ციტირების თარიღი: 10.04.2014.
  2. Biggs, John. (9 აპრილი, 2014) Heartbleed, The First Security Bug With A Cool Logo. TechCrunch. ციტირების თარიღი: 10.04.2014.
  3. Mutton, Paul. (8 აპრილი, 2014) Half a million widely trusted websites vulnerable to Heartbleed bug. Netcraft Ltd.. ციტირების თარიღი: 08.04.2014.
  4. Perlroth, Nicole; Hardy, Quentin (11 აპრილი, 2014). „Heartbleed Flaw Could Reach to Digital Devices, Experts Say“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 11.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  5. Chen, Brian X. (9 აპრილი, 2014). „Q. and A. on Heartbleed: A Flaw Missed by the Masses“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  6. Wood, Molly (10 აპრილი, 2014). „Flaw Calls for Altering Passwords, Experts Say“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  7. Manjoo, Farhad (10 აპრილი, 2014). „Users’ Stark Reminder: As Web Grows, It Grows Less Secure“. ნიუ-იორკ ტაიმზი. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  8. CVE – CVE-2014-0160. Cve.mitre.org. ციტირების თარიღი: 10.042014.
  9. „Heartbleed FAQ: Akamai Systems Patched“. Akamai Technologies. 8 აპრილი, 2014. დაარქივებულია ორიგინალიდან — 08.04.2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate=, |date=, და |archivedate=-ში (დახმარება)
  10. „AWS Services Updated to Address OpenSSL Vulnerability“. Amazon Web Services. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  11. „Dear readers, please change your Ars account passwords ASAP“. Ars Technica. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  12. „All Heartbleed upgrades are now complete“. BitBucket Blog. 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  13. „Keeping Your BrandVerity Account Safe from the Heartbleed Bug“. BrandVerity Blog. 9 აპრილი, 2014. დაარქივებულია ორიგინალიდან — 13.04.2014. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate=, |date=, და |archivedate=-ში (დახმარება)
  14. „Security: Heartbleed vulnerability“. GitHub. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  15. „IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed“. LifeHacker. 8 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  16. „The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ“. PeerJ. 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  17. Codey, Brendan (9 აპრილი, 2014). „Security Update: We’re going to sign out everyone today, here’s why“. SoundCloud. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  18. Codey, Brendan (10 აპრილი, 2014). „Sourceforge response to heartbleed“. SoundCloud. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  19. „Heartbleed“. SparkFun. 9 აპრილი, 2014. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  20. „Heartbleed“. Stripe. 9 აპრილი, 2014. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  21. Tumblr Staff-Urgent security update (8 აპრილი, 2014). ციტირების თარიღი: 09.04.2014.
  22. Hern, Alex (9 აპრილი, 2014). „Heartbleed: don't rush to update passwords, security experts warn“. The Guardian. ციტირების თარიღი: 09.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |date=-ში (დახმარება)
  23. Grossmeier, Greg. (8 აპრილი, 2014) [Wikitech-l Fwd: Security precaution - Resetting all user sessions today]. ფონდი ვიკიმედია. ციტირების თარიღი: 09.04.2014.
  24. Grossmeier, Greg. (10 აპრილი, 2014) Wikimedia's response to the "Heartbleed" security vulnerability. ფონდ ვიკიმედიის ბლოგი. ფონდი ვიკიმედია. ციტირების თარიღი: 10.04.2014.
  25. Wunderlist & the Heartbleed OpenSSL Vulnerability (10 აპრილი, 2014). დაარქივებულია ორიგინალიდან — 2014-04-13. ციტირების თარიღი: 2014-04-12.
  26. https://twitter.com/KrisJelbring/status/453559871028613121
  27. Staff. (8 აპრილი, 2014) LastPass and the Heartbleed Bug. LastPass. დაარქივებულია ორიგინალიდან — 18.12.2017. ციტირების თარიღი: 13.04.2014.
  28. „LogMeIn and OpenSSL“. LogMeIn. დაარქივებულია ორიგინალიდან — 13.04.2014. ციტირების თარიღი: 10.04.2014. შეამოწმეთ თარიღის პარამეტრი |accessdate= და |archivedate=-ში (დახმარება)

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.