V pondelok 7. apríla bola v populárnej kryptografickej knižnici OpenSSL, ktorá je široko používaná v aplikáciách a webových serveroch, nájdená hlavná zraniteľnosť známa ako „Heartbleed“. Stránky a služby na internete sú preto zaneprázdnené opravou tejto zraniteľnosti a aktualizáciou certifikátov SSL, aby chránili svojich zákazníkov. Ako už bolo povedané, OpenSSL v1.0.1 až 1.0.1f (vrátane) sú zraniteľné a OpenSSL 1.0.1g vydaný 7. apríla 2014 túto chybu opravuje.
Hovorí to úryvok z Heartbleed.com,
Chyba Heartbleed je vážna chyba v populárnej knižnici kryptografického softvéru OpenSSL. Táto slabina umožňuje ukradnúť informácie chránené za normálnych podmienok šifrovaním SSL/TLS používaným na zabezpečenie internetu. SSL/TLS poskytuje bezpečnosť komunikácie a súkromie cez internet pre aplikácie, ako je web, e-mail, okamžité správy (IM) a niektoré virtuálne súkromné siete (VPN).
Chyba Heartbleed umožňuje komukoľvek na internete čítať pamäť systémov chránených zraniteľnými verziami softvéru OpenSSL. To umožňuje útočníkom odpočúvať komunikáciu, kradnúť údaje priamo zo služieb a používateľov a vydávať sa za služby a používateľov.
Skontrolujte, či váš web alebo telefón s Androidom nie je ovplyvnený chybou Heartbleed –
Niektoré služby vám môžu povedať, či stránka, ktorej ste zverili svoje informácie, bola alebo je stále zraniteľná a kedy bol jej certifikát aktualizovaný.
Test Heartbleed od Filippa Valsordu – filippo.io/Heartbleed
Zadajte webovú adresu alebo názov hostiteľa a otestujte svoj server na prítomnosť Heartbleed (CVE-2014-0160). Môžete zadať port, ako je tento example.com:4433. štandardne 443.
LastPass Heartbleed checker – lastpass.com/heartbleed
Zistite, či je stránka zraniteľná voči Heartbleed. Zobrazuje serverový softvér lokality, informuje o tom, či bola zraniteľná a či je certifikát SSL teraz bezpečný a kedy bol naposledy vytvorený.
Chromebleed (rozšírenie Google Chrome)
Zobrazí upozornenie, ak je stránka, ktorú si prehliadate, ovplyvnená chybou Heartbleed. Skontroluje adresu URL stránky pomocou služby Filippo. Užitočné, ak nechcete stránky kontrolovať ručne.
Mashable zostavil zaujímavý zoznam známych stránok, v ktorých je uvedený ich aktuálny stav, či boli ovplyvnené a či by ste si mali zmeniť heslo.
Heartbleed Detector pre Android –
Používatelia systému Android môžu ľahko skontrolovať, či je ich zariadenie Android zraniteľné voči chybe HeartBleed, pomocou bezplatnej aplikácie s názvom „Heartbleed Detector“ od spoločnosti Lookout Mobile Security. Aplikácia určuje, akú verziu OpenSSL používa vaše zariadenie. Ak vaše zariadenie používa jednu z ovplyvnených verzií OpenSSL, potom skontroluje, či je špecifické zraniteľné správanie povolené alebo nie.
Ak je však vaše zariadenie zraniteľné, nemusíte podniknúť žiadne potrebné kroky, pokiaľ spoločnosť Google alebo výrobca vášho zariadenia nevydajú opravu.
Štítky: AndroidSecurity