در معرض خطر قرار گرفتن ارتباطات رمزگذاری شده توسط رخنه Heartbleed در OpenSSL

كارشناسان امنیت رایانه به ادمین ها توصیه می كنند تا رخنه جدی موجود در یك كتابخانه نرم افزاری كه توسط میلیون ها وب سایت برای رمزگذاری ارتباطات حساس استفاده می شود را اصلاح نمایند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این رخنه با نام مستعار "Heartbleed" در چندین نسخه از OpenSSL وجود دارد. OpenSSL یك كتابخانه رمزگذاری است كه رمزگذاری های SSL و TLS را ارائه می دهد. اكثر وب سایت ها برای رمزگذاری از SSL و TLS استفاده می كنند كه در مرورگرها با علامت قفل نشان داده می شود.

این رخنه كه برای اولین بار در دسامبر سال ۲۰۱۱ معرفی شد در OpenSSL نسخه ۱.۰.۱g اصلاح شده است. نسخه های آسیب پذیر OpenSSL، نسخه های ۱.۰.۱ تا ۱.۰.۱f می باشد البته در این میان نسخه های ۱.۰.۰ و ۰.۹.۸ تحت تاثیر این رخنه قرار ندارند.

در صورت سوء استفاده موفقیت آمیز از این آسیب پذیری، مهاجمان می توانند تمامی اطلاعات ردو بدل شده بین كاربر و یك ارائه دهنده خدمات وب را مشاهده نمایند و یا حتی می توانند ترافیك های جمع آوری شده را رمزگشایی كنند. هم چنین مهاجمان می توانند ارتباطات را استراق سمع كنند، داده ها را به طور مستقیم از كاربران و وب سایت ها به سرقت ببرند و یا حتی هویت كاربر و سرویس را جعل كنند.

این رخنه توسط سه محقق از شركت امنیتی Codenomicon و Neel Mehta از شركت گوگل كشف شده است. دامنه این مشكل وسیع است و تمامی سیستم عامل های امروزی ممكن است نسخه ای آسیب پذیر از OpenSSL را داشته باشند. سیستم عامل هایی كه ممكن است تحت تاثیر یك نسخه آُسیب پذیر از OpenSSL قرار داشته باشند عبارتند از: Debian Wheezy، Ubuntu ۱۲.۰۴.۴ LTS، CentOS ۶.۵، Fedora ۱۸، OpenBSD ۵.۳، FreeBSD ۸.۴، NetBSD ۵.۰.۲ و OpenSUSE ۱۲.۲.

این كتابخانه در دو وب سرور معروف آپاچی و nginx مورد استفاده قرار می گیرد. هم چنین برای حفاظت از سرورهای پست الكترونیكی، سرورهای چت، شبكه های خصوصی مجازی و سایر لوازم شبكه از این كتابخانه استفاده می شود.

به مدیران شبكه توصیه می شود تا آخرین نسخه SSL را اعمال نمایند، كلیدهایی كه ممكن است با مشكل مواجه شده باشند را لغو نموده و كلیدهای جدیدی ایجاد نمایند.

در معرض خطر قرار گرفتن ارتباطات رمزگذاری شده توسط رخنه 'Heartbleed' در OpenSSL