Bilgi Bankası: Linux
OpenSSL Heartbleed
Posted by Veri Merkezi Operasyonları(287) on 24 February 2015 12:46 PM

Heartbleed Nedir?
Heartbleed, açık kaynak kodlu kriptografi kütüphanesi OpenSSL'de tespit edilen bir yazılım hatasıdır. Bu açık sayesinde bir saldırgan sunucu hafızasından veri okuyabildiği gibi, bir sunucunun SSL özel anahtarlarını da ele geçirebilir. Private Key hakkında aşağıdaki adresten detaylı bilgi alabilirsiniz.
http://destek.doruk.net.tr/staff/index.php?/Knowledgebase/ViewKnowledgebase/Article/234/44

OpenSSL, internetteki iletişimin gizliliğini korumada kullanılan SSL/TLS şifreleme protokolünün bir uygulamasıdır. OpenSSL, birçok web sitesinde ve e-posta, anlık mesajlaşma ve VPN gibi uygulamalarda kullanılır.

Heartbleed güvenlik açığını suistimal eden saldırganlar, OpenSSL'nin bazı sürümlerini kullanan sistemlerin belleğini okuyarak SSL için kullanılan sunucudaki kullanıcı adlarına, şifrelere ve gizli kriptografik anahtarlara ulaşabilmektedir. Kötü amaçlı kullanıcılar, ele geçirilen bu anahtarlar ile sistemdeki bütün iletişimi gözlemleyebilir ve sisteme daha fazla zarar verebilir.  Heartbleed hakkında daha detaylı bilgi için aşağıdaki adresi inceleyebilirsiniz.

http://tr.wikipedia.org/wiki/Heartbleed

http://www.trendmicro.com.tr/guvenlik-istihbarati/arastirma/heartbleed/#nedir

İnternet üzerindeki  birçok makalede OpenSSL kullanan (sürüm sayısı 1.0.1 ve 1.0.1f arasında kalan) sunucuları hayata geçirmiş bulunan kuruluşların Heartbleed tehlikesi altında olduğu ve durumu düzeltmek için derhal harekete geçmeleri gerektiği söylenmektedir ancak bazı işletim sistemleri üzerindeki OpenSSL sürümlerinde bu konuyla ilgili sonradan iyileştirme için güncelleme yayınlanmıştır.  Örneğin DorukNET Windows Azure Pack platformu üzerindeki bir Centos 6 sanal sunucu kontrol edildiğinde openssl sürümü ve bu konudaki güncellemeyi aşağıdaki gibi görüntüleyebilirsiniz.

İşletim Sistemi sürümü kontrolü için
#cat /etc/redhat-release
CentOS release 6.6 (Final)

OpenSSL versiyonu kontrolü için
#openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Jan 20 17:30:05 UTC 2015
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: dynamic

Sunucuda kurulu OpenSSL sürümünde Heartbleed güvenlik açığı ile ilgili yama yapılmış mı aşağıdaki komutla kontrol edebilirsiniz.
#rpm -q --changelog openssl | grep CVE-2014-0224
- fix CVE-2014-0224 fix that broke EAP-FAST session resumption support
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability

#rpm -q --changelog openssl | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

Görüldüğü üzere OpenSSL Heartbleed ile ilgili yamalar yapılmış görülmektedir.  Eğer sunucunuzdan ilgili komut sonrasında benzer bir yanıt alınamıyorsa openssl sürümünü mutlaka güncellemenizi öneririz.

#yum update openssl -y

(0 oy)
Bu makale yararlı
Bu makale yararlı değil

Yorumlar (0)
Yorum gönder
 
 
Tam İsim:
E-Posta:
Yorumlar:
Resim Doğrulama 
 
Lütfen alttaki resimde gördüğünüz karakterleri aşağıdaki kutucuğa girin. Bu özellik otomatik kayıt ve form gönderilerini engellemek için uygulanmaktadır.