Pirmdien, 7. aprīlī, populārajā OpenSSL kriptogrāfiskajā bibliotēkā, ko plaši izmanto lietojumprogrammās un tīmekļa serveros, tika atrasta liela ievainojamība, kas pazīstama kā “Heartbleed”. Tādējādi vietnes un pakalpojumi internetā ir aizņemti ar šīs ievainojamības lāpīšanu un SSL sertifikātu atjaunināšanu, lai aizsargātu savus klientus. Kā minēts, OpenSSL v1.0.1–1.0.1f (ieskaitot) ir neaizsargātas, un OpenSSL 1.0.1g, kas tika izlaista 2014. gada 7. aprīlī, novērš šo kļūdu.
Izvilkums no Heartbleed.com teikts,
Heartbleed Bug ir nopietna ievainojamība populārajā OpenSSL kriptogrāfijas programmatūras bibliotēkā. Šis trūkums ļauj nozagt informāciju, kas normālos apstākļos ir aizsargāta ar SSL/TLS šifrēšanu, ko izmanto interneta drošībai. SSL/TLS nodrošina saziņas drošību un privātumu internetā tādām lietojumprogrammām kā tīmeklis, e-pasts, tūlītēja ziņojumapmaiņa (IM) un daži virtuālie privātie tīkli (VPN).
Heartbleed kļūda ļauj ikvienam interneta lietotājam lasīt to sistēmu atmiņu, kuras aizsargā neaizsargātās OpenSSL programmatūras versijas. Tas ļauj uzbrucējiem noklausīties sakarus, nozagt datus tieši no pakalpojumiem un lietotājiem un uzdoties par pakalpojumiem un lietotājiem.
Pārbaudiet, vai jūsu vietni vai Android tālruni nav skārusi Heartbleed kļūda –
Ir daži pakalpojumi, kas var pateikt, vai vietne, kurai esat uzticējis savu informāciju, bija vai joprojām ir neaizsargāta, un kad tās sertifikāts tika atjaunināts.
Filipo Valsordas Heartbleed tests – filippo.io/Heartbleed
Ievadiet vietrādi URL vai resursdatora nosaukumu, lai pārbaudītu, vai serverī nav Heartbleed (CVE-2014-0160). Varat norādīt šādu portu example.com:4433. 443 pēc noklusējuma.
LastPass Heartbleed pārbaudītājs – lastpass.com/heartbleed
Pārbaudiet, vai vietne ir neaizsargāta pret Heartbleed. Tas parāda vietnes servera programmatūru, norāda, vai tā bija ievainojama un vai SSL sertifikāts tagad ir drošs un kad tas pēdējo reizi tika izveidots.
Chromebleed (Google Chrome paplašinājums)
Parāda brīdinājumu, ja vietni, kuru pārlūkojat, ir skārusi Heartbleed kļūda. Tas pārbauda lapas URL, izmantojot Filippo pakalpojumu. Noderīgi, ja nevēlaties pārbaudīt vietnes manuāli.
Mashable ir izveidojis interesantu sarakstu ar labi zināmām vietnēm, norādot to pašreizējo statusu, norādot, vai tās ir ietekmētas un vai jums ir jāmaina parole.
Heartbleed detektors operētājsistēmai Android —
Android lietotāji var viegli pārbaudīt, vai viņu Android ierīce ir neaizsargāta pret HeartBleed kļūdu, izmantojot Lookout Mobile Security bezmaksas lietotni “Heartbleed Detector”. Lietotne nosaka, kuru OpenSSL versiju izmanto jūsu ierīce. Ja jūsu ierīcē darbojas kāda no ietekmētajām OpenSSL versijām, tā pārbauda, vai konkrētā ievainojamā darbība ir iespējota.
Tomēr, ja jūsu ierīce ir neaizsargāta, nav jāveic nekādas vajadzīgās darbības, ja vien Google vai ierīces ražotājs nav izlaidis ielāpu.
Birkas: AndroidSecurity