Qadin.NET / Boşluq tapıldı

Boşluq tapıldı


OpenSSL istifadəçilərinə aşkarlanmış kritik boşluq barədə xəbərdarlıq olunur. 
 
Yaranmış boşluq vasitəsilə Open SSL istifadə olunan serverlərə qoşulma və həmin serverlərdən 64b istifadəçi şifrləri, cookiləri və bu kimi digər kritik informasiyaların əldə edilməsi mümkündür. KİMM bütün OpenSSL istifadəçilərini boşluğun aradan qaldırılmış OpenSSL 1.0.1g versiyasına keçməyə, o cümlədən yeni açarlar, sertifikatlar generasiya olunaraq digər qabaqlayıcı təhlükəsizlik tədbirlərini görməyə çağırır.
 
Milli.Az ICTnews-a istinadən bildirir ki, bundan başqa KİMM OpenSSL istifadəçilərinə şifrlərinin mümkün sızması haqda məlumatların yoxlanılmasını tövsiyə edir. Mərkəz qeyd edir ki, dünən The OpenSSL Projectin mütəxəssisləri populyar kriptoqrafik modul olan OpenSSL-də CVE-2014-0160 kritik boşluğu haqda təhlükəsizlik bülleteni buraxıblar. Belə ki, boşluq TLS/DTLS protokolu üçün Heartbeat (RFC6520) uzantısında zəruri yoxlama prosesinin mövcud olmamasından yaranıb:
 
Şirkətin proqramçısının kiçik səhvi nəticəsində istənilən şəxs OpenSSL-in boşluq versiyası ilə qorunan kompüterlərin əməli yaddaşına birbaşa giriş etmiş olur. Bununla yanaşı, haker əslində şifrlənmiş formada olan məxfi açarlara, istifadəçilərin ad və şifrlərinə tam giriş (full access) imtiyazına sahib olur. Beləliklə, hakerin sistemə daxil olması haqda heç bir iz qalmır. Boşluq haqda məlumatı olan hər kimsə OpenSSL 1.0.1 -in versiyası çıxan gündən (2012 mart) demək olar ki, bütün internetdə olan şifrlənmiş trafiki dinləyə bilərdi. OpenSSL-in boşluq olan versiyası populyar veb-serverlər olan Nginx və apache, poçt serverlərdə, İM-serverlərdə, VPN həmçinin bir çox digər proqramlarda istifadə olunur. Bu boşluğun vurduğu zərər isə olduqca böyükdür. 
 
Mənbə:Milli.Az

11 aprel 2014
GO BACK