אזהרת אבטחת מידע: Heartbleed Vulnerability

בתאריך 07/04/2014 פרסם פרוייקט ה- OpenSSL את אזהרת אבטחת מידע מספר CVE-2014-0160, הידועה גם כ- Heartbleed Vulnerability.

אזהרה זו מצביעה על חולשה משמעותית מאוד אשר עלולה להשפיע על אתרי אינטרנט רבים וכן גם על אפליקציות העושות שימוש בפרוייקט ה- OpenSSL.

כך כתבה קבוצת החוקרים אשר זיהתה את חולשה זו (מתורגם מהמקור באנגלית):

"ללא כל שימוש במידע מוכמן, או בפרטי הזדהות, הצלחנו לגנוב מעצמנו את המפתחות המשמשים לתעודת ההצפנה X.509 , שם המשתמש, הסיסמה, תכתובות דוא"ל וכן תשדורות עסקיות הכוללות גם מסמכים".

כיצד פעלנו?

עם פרסום האזהרה ופרטים בדבר חולשת אבטחת המידע, התחלנו מידיית בתהליך הפצת עדכון לכל השרתים המשמשים את המערכות הפנימיות שלנו וכן עבור המערכות הפועלות מול רשת האינטרנט. תהליך זה נמשך כעת ונמצא לקראת סיומו.

בנוסף לכך, בצענו עדכון בכל המקורות המשמשים אותנו לביצוע התקנות שרתים, כך ששרתים חדשים המותקנים כעת אינם מכילים חולשה זו!

כיצד עליכם לפעול?

אנו ממליצים לכל לקוחותינו המפעילים שרתי לינוקס דרך שירותי הענן שלנו לפעול באופן הבא:

אם הנכם משתמשים ב- OpenSSL מגירסה 1.01 עד גירסה 1.01f (כולל), יש לשדרג מיידית לגירסה 1.01g אשר הופצה בתאריך 07/04/2014.
אם לא ניתן לשדרג את גירסת ה- OpenSSL, מומלץ לבצע קומפילציה עם DOPENSSL_NO_HEARTBEATS .
יש לחשוד בסיסמת כניסת המנהל לשרת כלא בטוחה, ולשנות אותה מידיית לסיסמה חזקה אחרת. במידה ונעשה שימוש באותה סיסמה גם לצורך גישה אל משאבים אחרים, כדאי לשנות גם אותה בהתאם.
כתמיד, אנו ממשיכים להמליץ ולהשתמש בתכונות ה- Two Factors Authentication בכל מקום אפשרי, או במפתח ה- high-T Key שלנו (לחצו למידע נוסף).