Esmaspäeval, 7. aprillil leiti populaarsest OpenSSL-i krüptoteegist, mida kasutatakse laialdaselt rakenduste ja veebiserveritega, suur haavatavus nimega "Heartbleed". Interneti saidid ja teenused on seega hõivatud selle haavatavuse parandamisega ja SSL-sertifikaatide värskendamisega, et kaitsta oma kliente. Nagu öeldud, on OpenSSL v1.0.1 kuni 1.0.1f (kaasa arvatud) haavatavad ja 7. aprillil 2014 välja antud OpenSSL 1.0.1g parandab selle vea.
Väljavõte saidilt Heartbleed.com ütleb,
Heartbleedi viga on populaarse OpenSSL-i krüptograafilise tarkvara raamatukogu tõsine haavatavus. See nõrkus võimaldab varastada teavet, mis on tavatingimustes kaitstud Interneti turvalisuse tagamiseks kasutatava SSL/TLS-krüptimisega. SSL/TLS pakub sideturvet ja privaatsust Internetis selliste rakenduste jaoks nagu veeb, e-post, kiirsõnumid (IM) ja mõned virtuaalsed privaatvõrgud (VPN).
Heartbleedi viga võimaldab kõigil Interneti-kasutajatel lugeda OpenSSL-i tarkvara haavatavate versioonidega kaitstud süsteemide mälu. See võimaldab ründajatel pealt kuulata sidet, varastada andmeid otse teenustelt ja kasutajatelt ning esineda teenuste ja kasutajatena.
Kontrollige, kas teie saiti või Android-telefoni mõjutab Heartbleedi viga –
Mõned teenused võivad teile öelda, kas sait, millele olete oma teabe usaldanud, oli või on endiselt haavatav ja millal selle sertifikaati värskendati.
Filippo Valsorda Heartbleed test – filippo.io/Heartbleed
Sisestage URL või hostinimi, et testida oma serverit Heartbleedi suhtes (CVE-2014-0160). Saate määrata sellise pordi example.com:4433
. 443 vaikimisi.
LastPassi Heartbleedi kontrollija – lastpass.com/heartbleed
Vaadake, kas sait on Heartbleedi suhtes haavatav. See näitab saidi serveritarkvara, annab teada, kas see oli haavatav ja kas SSL-sertifikaat on nüüd ohutu ja millal see viimati loodi.
Chromebleed (Google Chrome'i laiendus)
Kuvab hoiatuse, kui sirvitavat saiti mõjutab Heartbleedi viga. See kontrollib lehe URL-i, kasutades Filippo teenust. Kasulik, kui te ei soovi saite käsitsi kontrollida.
Mashable on koostanud huvitava nimekirja tuntud saitidest, märkides nende hetkeoleku, selle kohta, kas need on mõjutatud ja kas peaksite oma parooli muutma.
Heartbleed Detector Androidile –
Androidi kasutajad saavad hõlpsasti kontrollida, kas nende Android-seade on HeartBleedi vea suhtes haavatav, kasutades Lookout Mobile Security tasuta rakendust nimega "Heartbleed Detector". Rakendus määrab, millist OpenSSL-i versiooni teie seade kasutab. Kui teie seadmes töötab üks mõjutatud OpenSSL-i versioonidest, kontrollib see seejärel, kas konkreetne haavatav käitumine on lubatud või mitte.
Kui aga teie seade on haavatav, ei saa te midagi teha, välja arvatud juhul, kui Google või teie seadme tootja on välja andnud plaastri.
Sildid: AndroidSecurity