Rabitə və İnformasiya Texnologiyaları Nazirliyinin elektron xəbər xidməti
Boşluq aşkarlandı – XƏBƏRDARLIQ
Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzi “OpenSSL” istifadəçilərinə aşkarlanmış kritik boşluq barədə xəbərdarlıq edir.
“ICTnews” elektron xəbər xidməti “cert.gov.az” saytına istinadən bildirir ki, yaranmış boşluq vasitəsilə “Open SSL” istifadə olunan serverlərə qoşulma və həmin serverlərdən 64b istifadəçi şifrləri, “cooki”ləri və bu kimi digər kritik informasiyaların əldə edilməsi mümkündür. KİMM bütün “OpenSSL” istifadəçilərini boşluğun aradan qaldırılmış “OpenSSL 1.0.1g” versiyasına keçməyə, o cümlədən yeni açarlar, sertifikatlar generasiya olunaraq digər qabaqlayıcı təhlükəsizlik tədbirlərini görməyə çağırır.
Bundan başqa KİMM “OpenSSL” istifadəçilərinə şifrlərinin mümkün sızması haqda məlumatların yoxlanılmasını tövsiyə edir. Mərkəz qeyd edir ki, dünən “The OpenSSL Project”in mütəxəssisləri populyar kriptoqrafik modul olan “OpenSSL”-də “CVE-2014-0160” kritik boşluğu haqda təhlükəsizlik bülleteni buraxıblar. Belə ki, boşluq TLS/DTLS protokolu üçün “Heartbeat (RFC6520)” uzantısında zəruri yoxlama prosesinin mövcud olmamasından yaranıb:
“Şirkətin proqramçısının kiçik səhvi nəticəsində istənilən şəxs “OpenSSL”-in boşluq versiyası ilə "qorunan" kompüterlərin əməli yaddaşına birbaşa giriş etmiş olur. Bununla yanaşı, haker əslində şifrlənmiş formada olan məxfi açarlara, istifadəçilərin ad və şifrlərinə tam giriş (full access) imtiyazına sahib olur. Beləliklə, hakerin sistemə daxil olması haqda heç bir iz qalmır. Boşluq haqda məlumatı olan hər kimsə “OpenSSL 1.0.1” -in versiyası çıxan gündən (2012 mart) demək olar ki, bütün internetdə olan "şifrlənmiş" trafiki dinləyə bilərdi. “OpenSSL”-in boşluq olan versiyası populyar veb-serverlər olan “Nginx” və “apache”, poçt serverlərdə, İM-serverlərdə, VPN həmçinin bir çox digər proqramlarda istifadə olunur. Bu boşluğun vurduğu zərər isə olduqca böyükdür”.
Seymur
10/04/14 Çap et