אזהרת אבטחת מידע: Heartbleed Vulnerability
בתאריך 07/04/2014 פרסם פרוייקט ה- OpenSSL את אזהרת אבטחת מידע מספר CVE-2014-0160, הידועה גם כ- Heartbleed Vulnerability.
אזהרה זו מצביעה על חולשה משמעותית מאוד אשר עלולה להשפיע על אתרי אינטרנט רבים וכן גם על אפליקציות העושות שימוש בפרוייקט ה- OpenSSL.
כך כתבה קבוצת החוקרים אשר זיהתה את חולשה זו (מתורגם מהמקור באנגלית):
"ללא כל שימוש במידע מוכמן, או בפרטי הזדהות, הצלחנו לגנוב מעצמנו את המפתחות המשמשים לתעודת ההצפנה X.509 , שם המשתמש, הסיסמה, תכתובות דוא"ל וכן תשדורות עסקיות הכוללות גם מסמכים".
כיצד פעלנו?
עם פרסום האזהרה ופרטים בדבר חולשת אבטחת המידע, התחלנו מידיית בתהליך הפצת עדכון לכל השרתים המשמשים את המערכות הפנימיות שלנו וכן עבור המערכות הפועלות מול רשת האינטרנט. תהליך זה נמשך כעת ונמצא לקראת סיומו.
בנוסף לכך, בצענו עדכון בכל המקורות המשמשים אותנו לביצוע התקנות שרתים, כך ששרתים חדשים המותקנים כעת אינם מכילים חולשה זו!
כיצד עליכם לפעול?
אנו ממליצים לכל לקוחותינו המפעילים שרתי לינוקס דרך שירותי הענן שלנו לפעול באופן הבא:
אם הנכם משתמשים ב- OpenSSL מגירסה 1.01 עד גירסה 1.01f (כולל), יש לשדרג מיידית לגירסה 1.01g אשר הופצה בתאריך 07/04/2014.
אם לא ניתן לשדרג את גירסת ה- OpenSSL, מומלץ לבצע קומפילציה עם DOPENSSL_NO_HEARTBEATS .
יש לחשוד בסיסמת כניסת המנהל לשרת כלא בטוחה, ולשנות אותה מידיית לסיסמה חזקה אחרת. במידה ונעשה שימוש באותה סיסמה גם לצורך גישה אל משאבים אחרים, כדאי לשנות גם אותה בהתאם.
כתמיד, אנו ממשיכים להמליץ ולהשתמש בתכונות ה- Two Factors Authentication בכל מקום אפשרי, או במפתח ה- high-T Key שלנו (לחצו למידע נוסף).
לתשומת לבכם! מערכות ההפעלה הבאות עלולות להיות מותקנות עם גירסת OpenSSL הכוללת את חולשת אבטחת מידע זו:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012)
OpenBSD 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
כיצד אוכל לוודא האם המערכות שלי נפגעו?
נכון לכעת, לא קיבלנו כל תלונה או דווח על פגיעה אשר עלולה להחשד כתוצאה של חולשה זה.
עם זאת, ניצול חולשה זו אינו משאיר עקבות, רישום בקבצי לוג או סימנים לפעילות לא תקינה!
על כן, אנו ממליצים לפעול בהתאם להנחיות הנ"ל.
היכן ניתן לקרוא מידע נוסף בנושא?
להלן מספר קישורים:
The Heartbleed Bug.
OpenSSL Security Advisory
OpenSSL Project
למידע נוסף בנושא, אנא צרו קשר עם תמיכת היי-טי. כתמיד, נשמח לעזור!
