تبلیغات
تبلیغات متنی
محبوبترینها
ماندگاری بیشتر محصولات باغ شما با این روش ساده!
بارشهای سیلآسا در راه است! آیا خانه شما آماده است؟
بارشهای سیلآسا در راه است! آیا خانه شما آماده است؟
قیمت انواع دستگاه تصفیه آب خانگی در ایران
نمایش جنگ دینامیت شو در تهران [از بیوگرافی میلاد صالح پور تا خرید بلیط]
9 روش جرم گیری ماشین لباسشویی سامسونگ برای از بین بردن بوی بد
ساندویچ پانل: بهترین گزینه برای ساخت و ساز سریع
خرید بیمه، استعلام و مقایسه انواع بیمه درمان ✅?
پروازهای مشهد به دبی چه زمانی ارزان میشوند؟
تجربه غذاهای فرانسوی در قلب پاریس بهترین رستورانها و کافهها
دلایل زنگ زدن فلزات و روش های جلوگیری از آن
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1837801715
گزارش مركز ماهر در خصوص آسیب پذیری OPENSSL یا Heartbeat
واضح آرشیو وب فارسی:افتانا: این آسیب پذیری مربوط به ماژول Heartbeat در OpenSSL بوده كه می تواند اطلاعات محافظت شده را در شرایط عادی به سرقت ببرد. در واقع با سواستفاده از این ویژگی، مهاجم به حافظه اطلاعات مبادله شده میان سرور و كلاینت و بالعكس دست می یابد. این آسیب پذیری ارتباط های بانكهای اینترنتی را نیز تهدید میكند.
یك آسیب پذیری بسیار مهم در OpenSSL كشف شده است كه به Heartbeat مشهور می باشد. این آسیب پذیری مربوط به ماژول Heartbeat در OpenSSL بوده كه می تواند اطلاعات محافظت شده را در شرایط عادی به سرقت ببرد. در واقع با سواستفاده از این ویژگی، مهاجم به حافظه اطلاعات مبادله شده میان سرور و كلاینت و بالعكس دست می یابد. این آسیب پذیری ارتباط های بانكهای اینترنتی را نیز تهدید میكند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، SSL/TLS ارتباط امن و محافظت شده در اینترنت را برای برنامه كاربردی از قبیل وب، ایمیل، شبكه های VPN ، وب سرورهای منبع باز مانند Apache و nginx و سرور پست الكترونیك مانند SMTP، POP و IMAP و چت سرور XMPP برقرار می نماید.
مهاجم با استفاده از این آسیب پذیری می تواند حافظه سیستم را بخواند و به كلید محرمانه رمزنگاری ترافیك و دیتای نام های كاربری و رمز عبور دسترسی یابد و از این طریق امكان شنود ارتباطات، سرقت دیتا، پست الكترونیك و مستندات مربوط به سرویسها، كاربران و همچنین شخصی سازی آنها را پیدا می كند. آسیب پذیری شناسایی شده مربوط به خطای برنامه نویسی در كتابخانه OpenSSL می باشد.
جزییات آسیب پذیری Heartbeat در CVE-۲۰۱۴-۰۱۶۰ در تاریخ ۷ اوریل اعلام شده است. بر اساس گفته شركت OpenSSL ، آسیب پذیری نسخه های مذكور در نسخه ۱.۰.۲-beta۲ برطرف می گردد.
نسخه های آسیب پذیر:
نسخه های ۱.۰.۱ و ۱.۰.۲-beta از openSSL و ۱.۰.۱f و ۱.۰.۲-beta۱ آسیب پذیر می باشند.
سیستم عامل های زیر آسیب پذیر به نقطه ضعف ذكر شده می باشند:
Debian Wheezy (stable), OpenSSL ۱.۰.۱e-۲+deb۷u۴
Ubuntu ۱۲.۰۴.۴ LTS, OpenSSL ۱.۰.۱-۴ubuntu۵.۱۱
CentOS ۶.۵, OpenSSL ۱.۰.۱e-۱۵
Fedora ۱۸, OpenSSL ۱.۰.۱e-۴
OpenBSD ۵.۳ (OpenSSL ۱.۰.۱c ۱۰ May ۲۰۱۲) and ۵.۴ (OpenSSL ۱.۰.۱c ۱۰ May ۲۰۱۲)
FreeBSD ۱۰.۰ - OpenSSL ۱.۰.۱e ۱۱ Feb ۲۰۱۳
NetBSD ۵.۰.۲ (OpenSSL ۱.۰.۱e)
OpenSUSE ۱۲.۲ (OpenSSL ۱.۰.۱c)
راهكارهای شناسایی و مقابله :
· سیستم های آسیب پذیر می بایست سریعا به نسخه ۱.۰.۱g ارتقا یافته و یا با دستور زیر OpenSSL را مجددا تنظیم نمایند.
-DOPENSSL_NO_HEARTBEATS
· شركتهای سیستم عامل، برنامه های كاربردی و نرم افزاری می بایست تغییرات لازم را در محصولات خود ایجاد نموده و كاربران و مشتریان خود را مطلع نمایند.
· شركتهای ارایه دهنده خدمات اینترنت و كاربران آنها می بایست وصله های مربوط به سیستم عامل و نرم افزارهای خود را نصب نمایند.
· نصب وصله ها، عدم استفاده از كلیدهای به سرقت رفته و ایجاد كلید جدید در گواهینامه ها توسط CA ها از دیگر راهكارهای مقابله با آسیب پذیری می باشد.
· تغییر رمز عبور ، كلید و كوكی مربوط به نشست ها می بایست غیر معتبر قلمداد شود و تغییر یابد.
· با وجود اینكه محتوای Hearbeat رمز شده است ولی در پروتكل OpenSSL قابل تشخیص است كه منجربه شناسایی آن توسط IDS/IPS ها می گردد. تا زمانیكه Heartbeat بطوركامل در ترافیك مسدود نگردد، با مانیتورینگ ترافیك و مقایسه سایز بسته های درخواست و پاسخ امكان شناسایی این حمله وجود دارد. IDS/IPS ها تنها قادر به شناسایی بوده و امكان مسدود سازی حمله را ندارند.
· اطلاعات مالی، شخصی، پست الكترونیك، مستنداتی كه توسط این متد رمز شده اند می بایست توسط ارایه دهنده سرویس به روز شده و به كاربران سرویس اطلاع داده شود.
مرجع : مرکز ماهر
تاریخ انتشار : شنبه ۶ ارديبهشت ۱۳۹۳ ساعت ۱۴:۰۰
این صفحه را در گوگل محبوب کنید
[ارسال شده از: افتانا]
[مشاهده در: www.aftana.ir]
[تعداد بازديد از اين مطلب: 101]
-
گوناگون
پربازدیدترینها