iPon Hírek

Súlyos biztonsági rés miatt veszélyben a jelszavak (is)

Dátum | 2014. 04. 08.
Szerző | J.o.k.e.r
Csoport | HÁLÓZAT

Meglehetősen komoly biztonsági rés tartotta lázban a szerverüzemeltetőket az elmúlt napok során, ami rengeteg szervert érint. A HeartBleed Bug néven emlegetett biztonsági rést a Google egyik szakembere, Neel Mehta fedezte fel és időközben elkészült hozzá a javítás is, így sokan most is eszeveszett tempóban frissítik az OpenSSL szoftvercsomagot.
A HeartBleed Bug az OpenSSL 1.0.1-es és 1.0.2 béta kiadását érinti, amelyek közül az 1.0.1-es változatot nagyon széles körben alkalmazzák a különböző szervereken. Mivel az SSL (Secure-Socket Layer) és a TLS (Transport Layer Security) szerepe kulcsfontosságú, már ami az internetes biztonságot illeti, így a nemrégiben felfedezett biztonsági rés igen komoly veszélyt jelent. OpenSSL verziók és érintettségük •OpenSSL 1.0.1-től 1.0.1f-ig minden kiadás veszélyeztetett •OpenSSL 1.0.1g - biztonságos, erre érdemes frissíteni •OpenSSL 1.0.0 - biztonságos •OpenSSL 0.9.8 - biztonságos A HeartBleed Bug jóvoltából a támadók nem csak a titkosított üzenetek tartalmát olvashatják el – például egy HTTPS protokollon keresztül zajló bankkártyás tranzakció adatait –, de magukhoz az elsődleges és a másodlagos SSL kulcsokhoz is hozzáférhetnek, ami komoly baj forrása lehet. A megszerzett adatokat elméletben álkulcsként fel lehet használni az adott szerver biztonsági rendszerének kijátszására is, így észrevétlenül lehet hozzáférni a különböző érzékeny adatokhoz. Veszélyeztetett operációs rendszerek: •Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 •Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 •CentOS 6.5, OpenSSL 1.0.1e-15 •Fedora 18, OpenSSL 1.0.1e-4 •OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012) •FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013 •NetBSD 5.0.2 (OpenSSL 1.0.1e) •OpenSUSE 12.2 (OpenSSL 1.0.1c) Biztonságos operációs rendszerek: •Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14 •SUSE Linux Enterprise Server •FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013 •FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013 •FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC) Maga a biztonsági rés nem az OpenSSL kialakításából, illetve felépítéséből fakad, hiszen implementációs problémáról van szó, ami programozási hibára vezethető vissza. Szerencsére a biztonsági réshez már van javítás, legalábbis az OpenSSL 1.0.1-es kiadásához, méghozzá az OpenSSL 1.0.1g személyében. A korábbi információk alapján az 1.0.2 béta változathoz is készül már a patch, ami 1.0.2 béta2 néven lesz elérhető. Érdekesség egyébként, hogy komoly fejtörést okozott a patch készítőinek, hogy a biztonsági résről szóló híradások sokkal hamarabb napvilágot láttak, mint ahogy a javítás elkészült, ami igen veszélyes, hiszen a biztonsági rés kihasználásával adatok megszerzésére van mód – már amennyiben az adott feketekalapos hacker ismeri a biztonsági rés kihasználásához szükséges teendőket. A frissítéseket a szerverüzemeltetők a lehető leghamarabb telepítik, de így is fennáll a veszélye, hogy felhasználónevek és jelszavak szivárogtak, illetve szivárognak ki, így mindenképpen érdemes a felhasználóknak jelszavakat változtatniuk, sőt, egyes weboldalak üzemeltetői erre meg is fogják kérni őket. Pusztán elővigyázatosságból – abból még nem volt baj. A témával kapcsolatban bővebb információt itt találnak az érdeklődők.
Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

11. rtagore
2014.04.08. 20:30
Van olyan op. rendszer amelyik biztonságos egyáltalán? Ha befoltoznak egy rést, máris jön a következö. Ennek sose lesz vége?!
 
Válasz írásához előbb jelentkezz be!
10. Asagrim rtago...
2014.04.08. 20:39
Nincs biztonságos operációs rendszer.

Március negyedikei hír, gyanúsan hasonló ehhez az esethez.

http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping/
 
Válasz írásához előbb jelentkezz be!
9. freeoli rtago...
2014.04.08. 20:59
Van. Offline.
 
Válasz írásához előbb jelentkezz be!
8. kiskoller
2014.04.08. 21:40
Hát ez csúnya baki. Köszönjük a cikket, máris felpatcheltem a Gentoo boxomat.
 
Válasz írásához előbb jelentkezz be!
7. Asagrim kisko...
2014.04.08. 21:42
Mint tapasztalt linuxostól kérdezném tőled, ilyen bakiknál a megfelelő pakkot csak simán telepíteni kell terminálban, vagy valamit le kell szedni és újrafordítani az egész kernelt?
 
Válasz írásához előbb jelentkezz be!
6. Balucsek freeo...
2014.04.08. 22:15
freeoli: lehet még fiatal vagy hozzá, hogy emlékezz az internet előtti időkre, mikor még a floppy fénykorát élte, és mindenki attól rettegett hogy a havertól kapott floppy-n van pár vírus is...
 
Válasz írásához előbb jelentkezz be!
5. nofish
2014.04.09. 00:35
Magyarországi sebezhetőségi helyzet: http://heartbleed.onloop.me/
(Amúgy a délutáni órákig az ipon szervere is sebezhető volt, így bárki hozzáférhetett a felhasználónevekhez, jelszavakhoz. Szerencsére azóta frissítették az érintet csomagokat.)
 
Válasz írásához előbb jelentkezz be!
4. ncc1701 Asagr...
2014.04.09. 06:31
Simán apt-get update, majd apt-get upgrade. Csak nézd az üzeneteket, h az ssh szolgáltatás újraindul-e.
 
Válasz írásához előbb jelentkezz be!
3. jamborka
2014.04.09. 07:05
"Amúgy a délutáni órákig az ipon szervere is sebezhető volt, így bárki hozzáférhetett a felhasználónevekhez, jelszavakhoz"

engem ha megölnének se tudnék/tudtam volna, pedig nem vallom magam 1 bitesnek...
 
Válasz írásához előbb jelentkezz be!
2. eriol
2014.04.09. 09:34
Megjegyezném, senki se fröcsög, hogy bezzeg az ő általa használt alternatív operációs rendszert nem veszélyezteti ez a sebezhetőség. Példás. Ezt a szellemiséget kéne tovább vinni.
 
Válasz írásához előbb jelentkezz be!
1. nemlehet
2014.04.09. 14:31
A net világa már csak ilyen.Tökéletes nincs, JOBB van. Kár erre ráparázni.
 
Válasz írásához előbb jelentkezz be!