باگ امنیتی SSL Heartbleed و راه مقابله با آن

باگ امنیتی SSL Heartbleed و راه مقابله با آن

دیروز Bug (حفره) امنیتی جدیدی در هسته کتابخانه‌های مورد نیاز SSL منتشر شده‌است که باعث می‌شود تا اطلاعات ذخیره شده در Memory سرویس دهنده و سرویس گیرنده با حجم۶۴ کیلوبایت و یا بیشتر فاش شود.

کلودفایر

اطلاعاتی که در Memory سرویس دهنده و گیرنده ذخیره می‌شوند عبارتند از:

۱- Primary key
۲- Secondary key
۳- Protected content
۴- Collateral
۱- primary key: اطلاعات موجود در Primary key عبارتند از: «کلید محرمانه SSL» که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک‌های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد.
۲- secondary key: اطلاعات ذخیره شده در Secondary key عبارتند از: «اطلاعات مربوطه به اعتبارسنجی‌ها»، می‌توان نام‌های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
۳- Protected content‌: اطلاعات موجود در Protected content عبارتند از: «محتوای ایمیل‌ها، عکس‌ها و مطالب تبادل شده بین سرویس گیرنده و سرویس دهنده»، در حالت عادی فقط مالک ایمیل می‌تواند به این اطلاعات دسترسی داشته باشد.
۴- Collateral: اطلاعات ذخیره شده در Collateral عبارتند از: «اطلاعات مربوط به Memory» که می‌توان جزییات فنی نظیر آدرس حافظه، مکانیزم‌های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) و غیره را در این قسمت مشاهده نمود.

 

کدام نسخه‌های OpenSSL نسبت به این حفره آسیب‌پذیر است؟

نسخه‌های OpenSSL و آسیب‌پذیری آن‌ها