В понеделник, 7 април, голяма уязвимост, известна като „Heartbleed“, беше открита в популярната OpenSSL криптографска библиотека, която се използва широко с приложения и уеб сървъри. По този начин сайтовете и услугите в Интернет са заети с коригирането на тази уязвимост и актуализирането на SSL сертификатите, за да защитят своите клиенти. Както беше казано, OpenSSL v1.0.1 до 1.0.1f (включително) са уязвими и OpenSSL 1.0.1g, пуснат на 7 април 2014 г., коригира тази грешка.
Откъс от Heartbleed.com казва,
Heartbleed Bug е сериозна уязвимост в популярната библиотека за криптографски софтуер OpenSSL. Тази слабост позволява кражба на информация, защитена, при нормални условия, чрез SSL/TLS криптиране, използвано за защита на Интернет. SSL/TLS осигурява комуникационна сигурност и поверителност през Интернет за приложения като уеб, имейл, незабавни съобщения (IM) и някои виртуални частни мрежи (VPN).
Грешка Heartbleed позволява на всеки в Интернет да чете паметта на системите, защитени от уязвимите версии на софтуера OpenSSL. Това позволява на нападателите да подслушват комуникации, да крадат данни директно от услугите и потребителите и да се представят за услуги и потребители.
Проверете дали вашият сайт или телефон с Android са засегнати от грешка в Heartbleed –
Има някои услуги, които могат да ви кажат дали сайтът, на който сте поверили вашата информация, е или все още е уязвим и кога сертификатът му е актуализиран.
Тестът Heartbleed на Филипо Валсорда – filippo.io/Heartbleed
Въведете URL или име на хост, за да тествате сървъра си за Heartbleed (CVE-2014-0160). Можете да посочите порт като този example.com:4433. 443 по подразбиране.
LastPass Heartbleed Checker – lastpass.com/heartbleed
Вижте дали даден сайт е уязвим към Heartbleed. Той показва сървърния софтуер на сайта, казва дали е бил уязвим и дали SSL сертификатът вече е в безопасност и кога е създаден за последно.
Chromebleed (разширение за Google Chrome)
Показва предупреждение, ако сайтът, който разглеждате, е засегнат от грешка в Heartbleed. Той проверява URL адреса на страницата с помощта на услугата на Filippo. Полезно, ако не желаете да проверявате сайтовете ръчно.
Mashable изпълни интересен списък от добре познати сайтове, в който се посочва текущото им състояние, дали са засегнати и дали трябва да промените паролата си.
Heartbleed Detector за Android –
Потребителите на Android могат лесно да проверят дали тяхното устройство с Android е уязвимо към грешка HeartBleed с безплатно приложение, наречено „Heartbleed Detector“ от Lookout Mobile Security. Приложението определя коя версия на OpenSSL използва вашето устройство. Ако вашето устройство работи с една от засегнатите версии на OpenSSL, то след това проверява дали конкретното уязвимо поведение е активирано или не.
Въпреки това, ако вашето устройство е уязвимо, няма необходими действия, които можете да предприемете, освен ако не бъде пусната корекция от Google или производителя на вашето устройство.
Етикети: AndroidSecurity