From Wikipedia, the free encyclopedia
Heartbleed ir programmatūras kļūda atvērtā pirmkoda kriptogrāfijas bibliotēkā OpenSSL, kas ļauj tās ļaunprātīgam izmantotājam nolasīt saimniekdatora atmiņu un iegūt iespējami sensitīvus datus.[3][4][5][6]
Pamatojoties uz audita ierakstu izpēti, tiek ziņots, ka daži uzbrucēji šo kļūdu izmantojuši vismaz piecus mēnešus pirms tās atklāšanas un izziņošanas.[7][8][9]
2014. gada aprīlī Nīls Mehta no Google Security paziņoja par kļūdu visās pēc 2012. gada 14. marta izlaistajās OpenSSL versijās 1.0.1 sērijā. Kļūda iekļāva nopietnu atmiņas apstrādes kļūdu Transport Layer Security (TLS) Heartbeat paplašinājuma realizācijā.[10][11] Šo defektu varēja izmantot, lai nolasītu līdz 64 kilobaitiem programmas atmiņas ar katru heartbeat pieprasījumu.[12] Kļūda ir reģistrēta Common Vulnerabilities and Exposures sistēmā ar numuru CVE-2014-0160.[13]
Kļūda darbojas, izmantojot izmainītu heartbeat pieprasījumu serverim, lai izvilinātu servera atbildi, kas normālā gadījumā satur to pašu datu buferi, kas tika saņemts. Trūkstot robežu pārbaudei, OpenSSL ietekmētās versijas nepārbaudīja pieprasījuma izmēra korektumu, ļaujot uzbrucējiem nolasīt patvaļīgu servera atmiņas izmēru.[14]
Lai novērstu kļūdu, serveru administratoriem tiek ieteikts izmantot 1.0.1g versiju vai pārkompilēt OpenSSL ar -DOPENSSL_NO_HEARTBEATS parametru, atslēdzot ievainojamo iespēju, līdz servera programmatūra var tikt atjaunināta.
Bloomberg News ziņoja, ka ASV Nacionālās drošības aģentūra regulāri izmantoja kļūdu, lai ievāktu informāciju un bija informēta par kļūdu vismaz divus gadus.[15][16][17]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.