10 Nisan 2014 Perşembe

OpenSSL Heart Bleed

Selamlar,

Uzun bir aradan sonra 2011 deki RDP açığından sonra gelen en büyük güvenlik tehlikesi 4 Nisan itibariyle dünyayı tehdit etmeye başladı. Bu yüzden bizde takipçilerimize bu yazıyı yazarak uyarıda bulunmak istedik. OpenSSL kütüphanesinde bulunan bir güvenlik zafiyeti sayesinde saldırgan sistem üzerindeki root sertifikaları çalabilir veya hafızada bulunan kullanıcı adı, şifre gibi birçok kritik dataya erişebilmektedir. Birçok büyük site yahoo, amazon , gmail v.b kullanıcılarına uyarılarda bulunarak parolalarını değiştirmesini söyleyen epostalar göndermeye başladılar.

Risk Altındaki OpenSSL versiyonları
OpenSSL 1.0.1e-fips
OpenSSL 1.0.1 1.0.1f

Risk Taşımayan Versiyonlar
OpenSSL 1.0.1g
OpenSSL 1.0.0
OpenSSL 0.9.8

Zafiyet içeren İşletim Sistemleri

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Zafiyeti Fix Etme Metodları 

CentOS tabanlı sistemler için: yum update
Debian tabanlı sistemler için: apt-get update

Eğer yayınlanmıs update paketi mevcut değil ise: OpenSSL i su flag ile tekrar derlemeniz gerekmektedir.

-DOPENSSL_NO_HEARTBEATS

Detaylı kaynaklar için Googleda Heart Bleed aramasını yapabilirsiniz. 

http://heartbleed.com/