Heartbleed

Heartbleed ir programmatūras kļūda atvērtā pirmkoda kriptogrāfijas bibliotēkā OpenSSL, kas ļauj tās ļaunprātīgam izmantotājam nolasīt saimniekdatora atmiņu un iegūt iespējami sensitīvus datus.^[3]^[4]^[5]^[6]

Pamatojoties uz audita ierakstu izpēti, tiek ziņots, ka daži uzbrucēji šo kļūdu izmantojuši vismaz piecus mēnešus pirms tās atklāšanas un izziņošanas.^[7]^[8]^[9]

Vēsture[labot šo sadaļu | labot pirmkodu]

2014. gada aprīlī Nīls Mehta no Google Security paziņoja par kļūdu visās pēc 2012. gada 14. marta izlaistajās OpenSSL versijās 1.0.1 sērijā. Kļūda iekļāva nopietnu atmiņas apstrādes kļūdu Transport Layer Security (TLS) Heartbeat paplašinājuma realizācijā.^[10]^[11] Šo defektu varēja izmantot, lai nolasītu līdz 64 kilobaitiem programmas atmiņas ar katru heartbeat pieprasījumu.^[12] Kļūda ir reģistrēta Common Vulnerabilities and Exposures sistēmā ar numuru CVE-2014-0160.^[13]

Kļūda darbojas, izmantojot izmainītu heartbeat pieprasījumu serverim, lai izvilinātu servera atbildi, kas normālā gadījumā satur to pašu datu buferi, kas tika saņemts. Trūkstot robežu pārbaudei, OpenSSL ietekmētās versijas nepārbaudīja pieprasījuma izmēra korektumu, ļaujot uzbrucējiem nolasīt patvaļīgu servera atmiņas izmēru.^[14]

Ietekmētās OpenSSL versijas[labot šo sadaļu | labot pirmkodu]

OpenSSL 1.0.2-beta
OpenSSL 1.0.1 – OpenSSL 1.0.1f
- Ja vien nav uzstādīts sistēmas ielāps CVE-2014-0160, kas nemaina bibliotēkas versiju, kā Debian (ieskaitot atvasinājumus kā Ubuntu Linux un Linux Mint), FreeBSD un Red Hat Enterprise Linux, ieskaitot atvasinājumus, kā CentOS un Amazon Linux gadījumā.

Neietekmētās versijas[labot šo sadaļu | labot pirmkodu]

OpenSSL 1.0.2-beta2 (gaidāmā)
OpenSSL 1.0.1g
OpenSSL 1.0.0 (un 1.0.0 atzara laidieni)
OpenSSL 0.9.8 (un 0.9.8 atzara laidieni)

Lai novērstu kļūdu, serveru administratoriem tiek ieteikts izmantot 1.0.1g versiju vai pārkompilēt OpenSSL ar -DOPENSSL_NO_HEARTBEATS parametru, atslēdzot ievainojamo iespēju, līdz servera programmatūra var tikt atjaunināta.

Izmantošana ASV valdības vajadzībām[labot šo sadaļu | labot pirmkodu]

Bloomberg News ziņoja, ka ASV Nacionālās drošības aģentūra regulāri izmantoja kļūdu, lai ievāktu informāciju un bija informēta par kļūdu vismaz divus gadus.^[15]^[16]^[17]

Atsauces[labot šo sadaļu | labot pirmkodu]

↑ Patrick McKenzie. «What Heartbleed Can Teach The OSS Community About Marketing», 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.
↑ John Biggs. «Heartbleed, The First Security Bug With A Cool Logo». TechCrunch, 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.
↑ Nicole Perlroth, Quentin Hardy. «Heartbleed Flaw Could Reach to Digital Devices, Experts Say». The New York Times, 2014. gada 11. aprīlis. Skatīts: 2014. gada 11. aprīlis.
↑ Brian X. Chen. «Q. and A. on Heartbleed: A Flaw Missed by the Masses». The New York Times, 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.
↑ Molly Wood. «Flaw Calls for Altering Passwords, Experts Say». The New York Times, 2014. gada 10. aprīlis. Skatīts: 2014. gada 10. aprīlis.
↑ Farhad Manjoo. «Users’ Stark Reminder: As Web Grows, It Grows Less Secure». The New York Times, 2014. gada 10. aprīlis. Skatīts: 2014. gada 10. aprīlis.
↑ Sean Gallagher. «Heartbleed vulnerability may have been exploited months before patch». Ars Technica, 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.
↑ "No, we weren't scanning for hearbleed before April 7"
↑ "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
↑ Seggelmann, R. «Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension». RFC 6520. Internet Engineering Task Force (IETF), February 2012. Skatīts: 2014. gada 8. aprīlis.
↑ OpenSSL.org. «OpenSSL Security Advisory [07 Apr 2014]», 2014. gada 7. aprīlis. Arhivēts no oriģināla, laiks: 2014. gada 8. aprīlī. Skatīts: 2014. gada 9. aprīlis.
↑ OpenSSL. «TSL heartbeat read overrun (CVE-2014-0160)», 2014. gada 7. aprīlis. Arhivēts no oriģināla, laiks: 2014. gada 8. aprīlī. Skatīts: 2014. gada 8. aprīlis.
↑ «CVE - CVE-2014-0160». Cve.mitre.org. Skatīts: 2014. gada 10. aprīlis.
↑ Troy Hunt. «Everything you need to know about the Heartbleed SSL bug», 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.
↑ Michael Riley. «NSA Said to Exploit Heartbleed Bug for Intelligence for Years». Bloomberg. Skatīts: 2014-04-11.
↑ «Report: NSA exploited Heartbleed for years». Usatoday.com. Skatīts: 2014-04-11.
↑ «NSA exploited Heartbleed bug for two years to gather intelligence, sources say | Financial Post». Business.financialpost.com. Arhivēts no oriģināla, laiks: 2014-04-13. Skatīts: 2014-04-11.

Ārējās saites[labot šo sadaļu | labot pirmkodu]

Heartbleed kļūda OPENSSL
Kopsavilkums, jautājumi un atbildes par kļūdu Arhivēts 2014. gada 7. aprīlī, Wayback Machine vietnē. no Codenomicon Ltd
Video (08:40) - Heartbleed kļūdas skaidrojums
PCMAG - Nomainiet savas paroles
'Heartbleed' kļūda: Nopietnāka kļūda pēdējo gadu laikā
Has the NSA Been Using the Heartbleed Bug as an Internet Peephole?—Wired (2014. gada 10. aprīlis)

[McKenzie-1] Patrick McKenzie. «What Heartbleed Can Teach The OSS Community About Marketing», 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.

[Biggs-2] John Biggs. «Heartbleed, The First Security Bug With A Cool Logo». TechCrunch, 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.

[NYT-20140411-3] Nicole Perlroth, Quentin Hardy. «Heartbleed Flaw Could Reach to Digital Devices, Experts Say». The New York Times, 2014. gada 11. aprīlis. Skatīts: 2014. gada 11. aprīlis.

[NYT-20140409-4] Brian X. Chen. «Q. and A. on Heartbleed: A Flaw Missed by the Masses». The New York Times, 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.

[NYT-20140410a-5] Molly Wood. «Flaw Calls for Altering Passwords, Experts Say». The New York Times, 2014. gada 10. aprīlis. Skatīts: 2014. gada 10. aprīlis.

[NYT20140410-6] Farhad Manjoo. «Users’ Stark Reminder: As Web Grows, It Grows Less Secure». The New York Times, 2014. gada 10. aprīlis. Skatīts: 2014. gada 10. aprīlis.

[7] Sean Gallagher. «Heartbleed vulnerability may have been exploited months before patch». Ars Technica, 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.

[8] "No, we weren't scanning for hearbleed before April 7"

[9] "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org

[10] Seggelmann, R. «Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension». RFC 6520. Internet Engineering Task Force (IETF), February 2012. Skatīts: 2014. gada 8. aprīlis.

[openssl1-11] OpenSSL.org. «OpenSSL Security Advisory [07 Apr 2014]», 2014. gada 7. aprīlis. Arhivēts no oriģināla, laiks: 2014. gada 8. aprīlī. Skatīts: 2014. gada 9. aprīlis.

[12] OpenSSL. «TSL heartbeat read overrun (CVE-2014-0160)», 2014. gada 7. aprīlis. Arhivēts no oriģināla, laiks: 2014. gada 8. aprīlī. Skatīts: 2014. gada 8. aprīlis.

[13] «CVE - CVE-2014-0160». Cve.mitre.org. Skatīts: 2014. gada 10. aprīlis.

[troyhunt-14] Troy Hunt. «Everything you need to know about the Heartbleed SSL bug», 2014. gada 9. aprīlis. Skatīts: 2014. gada 10. aprīlis.

[15] Michael Riley. «NSA Said to Exploit Heartbleed Bug for Intelligence for Years». Bloomberg. Skatīts: 2014-04-11.

[16] «Report: NSA exploited Heartbleed for years». Usatoday.com. Skatīts: 2014-04-11.

[17] «NSA exploited Heartbleed bug for two years to gather intelligence, sources say | Financial Post». Business.financialpost.com. Arhivēts no oriģināla, laiks: 2014-04-13. Skatīts: 2014-04-11.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]