Heartbleed - Википедия - Heartbleed

Басқа мақсаттар үшін қараңыз Жүректен қан кету (ажырату).

Жүрек қан
Heartbleed.svg
Heartbleed ұсынатын логотип. Қауіпсіздік компаниясы Коденомикон Heartbleed-ке есім де, логотип те берді, бұл мәселе туралы халықтың хабардар болуына ықпал етті.[1][2]
CVE идентификаторыCVE-2014-0160
Табылған күні1 сәуір 2014; 6 жыл бұрын (2014-04-01)
Күні жамау7 сәуір 2014 ж; 6 жыл бұрын (2014-04-07)
АшушыНил Мехта
Зардап шеккен бағдарламалық жасақтамаOpenSSL (1.0.1)
Веб-сайтжүрек қан.com

Жүрек қан Бұл қауіпсіздік қатесі ішінде OpenSSL криптография кітапханасы, бұл кеңінен қолданылатын бағдарлама Көлік қабаттарының қауіпсіздігі (TLS) хаттамасы. Ол бағдарламалық жасақтамаға 2012 жылы енгізіліп, 2014 жылдың сәуірінде жарияланды. Heartbleed осал OpenSSL данасы TLS сервері немесе клиент ретінде жұмыс істеп тұрғанына қарамастан пайдаланылуы мүмкін. Бұл дұрыс енгізілмегендіктен туындайды (жоқ болғандықтан шекараны тексеру ) TLS іске асыруда жүрек соғысы кеңейту.[3] Осылайша, қатенің атауы келесіден шыққан жүрек соғысы.[4] Осалдық а ретінде жіктеледі артық оқылған буфер,[5] рұқсат етілгеннен көбірек деректерді оқуға болатын жағдай.[6]

Heartbleed тіркелді Жалпы осалдықтар мен әсер ету деректер базасы CVE -2014-0160.[5] Федералдық Канадалық кибер инциденттеріне ден қою орталығы жүйе әкімшілеріне қате туралы кеңес беретін қауіпсіздік бюллетені шығарылды.[7] OpenSSL-дің бекітілген нұсқасы 2014 жылы 7 сәуірде шығарылды, сол күні Heartbleed көпшілікке жария болды.[8]

2014 жылғы 20 мамырдағы жағдай бойынша, TLS қолдайтын 800000 ең танымал веб-сайттардың 1,5% -ы Heartbleed-ке әлі де осал болды.[9] 2014 жылғы 21 маусымдағы жағдай бойынша, 309.197 жалпыға қол жетімді веб-серверлер осал болып қала берді.[10] 2017 жылғы 23 қаңтардағы жағдай бойынша, есеп бойынша[11] бастап Шодан, шамамен 180,000 интернетке қосылған құрылғылар әлі де осал болды.[12][13] 2017 жылғы 6 шілдедегі жағдай бойынша, shodan.io-дан «vuln: cve-2014-0160» іздеуіне сәйкес, олардың саны 144000-ға дейін төмендеді.[14] 2019 жылғы 11 шілдедегі жағдай бойынша, Деп хабарлады Шодан[15] 91.063 құрылғы осал болды. 21258 (23%) АҚШ бірінші болды, алғашқы 10 елдің 56 537-сі (62%), ал қалған елдер 34 526 (38%) болды. Есеп сонымен қатар құрылғыларды ұйым (басқа үш санат, сымсыз байланыс компаниялары), өнім (Apache httpd, nginx) немесе сервис (https, 81%) сияқты басқа 10 санатқа бөледі.

Сияқты OpenSSL-ден басқа TLS енгізу GnuTLS, Mozilla Келіңіздер Желілік қауіпсіздік қызметі, және Windows платформасын TLS енгізу, әсер етпеді, өйткені ақаулық протоколдың өзінде емес, OpenSSL-дің TLS-ті енгізуінде болған.[16]

Тарих

Жүрек соғысын кеңейту Көлік қабаттарының қауіпсіздігі (TLS) және Datagram Тасымалдау Қауіпсіздігі (DTLS) хаттамалары стандарт ретінде 2012 жылдың ақпанында ұсынылды RFC  6520.[17] Бұл байланыстыруды әр уақытта қайта қараудың қажеті жоқ қауіпсіз байланыс сілтемелерін тексеруге және сақтауға мүмкіндік береді. 2011 жылы РФК авторларының бірі, содан кейін Ph.D докторы болған Робин Сеггельманн. студент Fachhochschule Münster, OpenSSL үшін Heartbeat кеңейтімін іске асырды. Сеггельманнның өз жұмысының нәтижесін OpenSSL-ге енгізу туралы өтінішінен кейін,[18][19][20] оның өзгеруін OpenSSL төрт негізгі әзірлеушілерінің бірі Стивен Н.Хенсон қарастырды. Хенсон Seggelmann бағдарламасындағы қатені байқай алмады және қате кодты 2011 жылдың 31 желтоқсанында OpenSSL бастапқы коды репозиторийіне енгізді. Ақау OpenSSL 1.0.1 нұсқасының 2012 жылдың 14 наурызында шыққаннан кейін таралды. Heartbeat қолдауы әдепкі бойынша қосылды, соның салдарынан зардап шеккен нұсқалары осал болуы керек.[21][22][23]

Ашу

OpenSSL қызметкері Марк Дж. Кокстың айтуынша, Google қауіпсіздік командасының қызметкері Нил Мехта Heartbleed туралы OpenSSL командасына 2014 жылғы 1 сәуірде 11:09 UTC туралы жеке хабарлаған.[24]

Қатені Synopsys Software Integrity Group инженері атады (бұрын Коденомикон ), сонымен қатар қан кететін жүрек логотипін жасап, доменді іске қосқан финдік киберқауіпсіздік компаниясы жүрек қан.com қатені көпшілікке түсіндіру.[25] Google-дің қауіпсіздік тобы Heartbleed туралы OpenSSL-ге бірінші болып хабарлаған кезде, Google да, Codenomicon да оны дербес бір уақытта тапты.[26][21][27] Codenomicon 2014 жылдың 3 сәуірінде олардың ашылған күні және оларды хабарлау күні деп хабарлайды NCSC -FI осалдықты үйлестіру үшін.[21][28]

Ашу кезінде Интернеттің қауіпсіз веб-серверлерінің шамамен 17% (жарты миллионға жуық) сертификатталған сенімді органдар шабуылға осал болып, серверлердің ұрлануына жол береді деп есептелді жеке кілттер және cookie файлдары мен құпия сөздердің қолданушылары.[29][30][31][32][33] The Электронды шекара қоры,[34] Ars Technica,[35] және Брюс Шнайер[36] барлығы Heartbleed қатесін «апатты» деп санады. Forbes киберқауіпсіздік бойынша шолушы Джозеф Стейнберг былай деп жазды:

Кейбіреулер Heartbleed Интернетте коммерциялық трафик ағыла бастағаннан бері табылған ең нашар осалдық (кем дегенде оның ықтимал әсері тұрғысынан) деп айтуы мүмкін.[37]

Ұлыбритания кабинетінің өкілі:

Адамдар өздері қолданатын веб-сайттардан парольдерді өзгерту туралы кеңес алуы керек. Веб-сайттардың көпшілігі қатені түзетіп, адамдарға қандай шара қолдану керектігін кеңес беру үшін ең жақсы орналастырылған.[38]

Ашылған күні Тор Жоба кеңес берді:

Егер сізге Интернеттегі күшті жасырындық немесе құпиялылық қажет болса, онда сіз бірнеше күн бойы Интернеттен аулақ болғыңыз келуі мүмкін.[39]

Сидней таңғы хабаршысы ашудың уақыттық кестесін 2014 жылдың 15 сәуірінде жариялады, онда кейбір ұйымдар қателіктер оны көпшілікке жария етпестен бұрын жамап үлгергенін көрсетті. Кейбір жағдайларда олардың қалай анықталғаны түсініксіз.[40]

Қате түзету және орналастыру

Бодо Мёллер мен Адам Лэнгли Google Heartbleed үшін түзету дайындады. Алынған патч қосылды Қызыл қалпақ шығарылым трекері 21 наурыз 2014 ж.[41] Стивен Н.Хенсон түзетуді OpenSSL нұсқасын басқару жүйесіне 7 сәуірде қолданды.[42] Бірінші бекітілген нұсқасы 1.0.1г сол күні шығарылды. 2014 жылғы 21 маусымдағы жағдай бойынша, 309.197 жалпыға қол жетімді веб-серверлер осал болып қала берді.[10] 2017 жылғы 23 қаңтардағы жағдай бойынша, есеп бойынша[11] Шоданнан Интернетке қосылған 180 000-ға жуық құрылғылар әлі де осал болды.[12][13] Бұл сан 2017 жылғы 6 шілдедегі жағдай бойынша 144000-ға дейін төмендеді, shodan.io сайтындағы «vuln: cve-2014-0160» іздеуіне сәйкес.[14]

Сертификатты жаңарту және қайтарып алу

Сәйкес Netcraft, Heartbleed салдарынан бұзылуы мүмкін 500,000+ X.509 сертификаттарының шамамен 30,000-і 2014 жылдың 11 сәуіріне дейін қайта шығарылды, бірақ одан азы жойылды.[43]

2014 жылғы 9 мамырда зардап шеккен веб-сайттардың тек 43% -ы қауіпсіздік сертификаттарын қайта шығарды. Сонымен қатар, қайта шығарылған қауіпсіздік сертификаттарының 7% ықтимал бұзылған кілттерді қолданды. Netcraft:

Сол жеке кілтті қайта пайдалану арқылы, Heartbleed қатесі әсер еткен сайт әлі күнге дейін олардың орнын ауыстырмаған тәуекелдерге тап болады SSL сертификаттары.[44]

eWeek: «[Heartbleed] бірнеше ай бойы, тіпті бірнеше жыл бойы тәуекел болып қалуы мүмкін» деді.[45]

Қанау

The Канада бойынша кірістер агенттігі ұрлық туралы хабарлады Әлеуметтік сақтандыру нөмірлері 900 салық төлеушілерге тиесілі және оларға қателіктерді пайдалану арқылы 2014 жылдың 8 сәуірінде 6 сағаттық мерзімде қол жеткізілгенін айтты.[46] Шабуыл анықталғаннан кейін агенттік өзінің веб-сайтын жауып, салық төлеушілерге құжаттарды тапсыру мерзімін 30 сәуірден 5 мамырға дейін ұзартты.[47] Агенттік зардап шеккендерге ақысыз түрде несиелерді қорғау қызметтерін ұсынатындығын мәлімдеді. 16 сәуірде RCMP информатика пәнінің студентіне ұрлыққа қатысты айып тағылғанын жариялады компьютерді рұқсатсыз пайдалану және мәліметтерге қатысты бұзушылық.[48][49]

Ұлыбританиядағы ата-аналарға арналған сайт Mumsnet бірнеше пайдаланушы тіркелгісін ұрлап әкетіп, оның бас директорының кейпіне енген.[50] Кейінірек сайт бұл оқиғаның түсіндірілуін Heartbleed-ге байланысты деп жариялады және техникалық қызметкерлер оны дереу жамап отырды.[51]

Зиянды бағдарламаларға қарсы зерттеушілер сондай-ақ Heartbleed-ті киберқылмыскерлер қолданатын құпия форумдарға қол жеткізу үшін өз пайдасына пайдаланды.[52] Зерттеулер осал машиналарды әдейі орнату арқылы жүргізілді. Мысалы, 2014 жылғы 12 сәуірде кем дегенде екі тәуелсіз зерттеуші ұрлай алды жеке кілттер осы мақсат үшін әдейі орнатылған эксперименттік серверден CloudFlare.[53][54] Сондай-ақ, 2014 жылғы 15 сәуірде, Дж.Алек Халдерман, профессор Мичиган университеті, деп хабарлады оның бал құты сервер, оларды зерттеу үшін шабуылдарды тартуға арналған әдейі осал сервер, Қытайдан шыққан көптеген шабуылдарға ұшырады. Хальдерман бұл түсініксіз сервер болғандықтан, бұл шабуылдар Интернеттің кең ауқымына әсер ететін шабуылдар болды деген қорытындыға келді.[55]

2014 жылдың тамызында Heartbleed осалдығы хакерлерге қауіпсіздік кілттерін ұрлауға мүмкіндік бергені жария болды Қоғамдық денсаулық сақтау жүйелері 4,5 миллион пациенттің жазбаларының құпиялылығына зиян келтіретін АҚШ-тағы екінші ірі коммерциялық ауруханалар желісі. Бұзушылық Heartbleed алғаш рет жария болғаннан кейін бір аптадан кейін болды.[56]

Мүмкін алдын-ала білу және пайдалану

Көптеген ірі веб-сайттар қатені жөндеді немесе Heartbeat кеңейтімін жарияланғаннан кейін бірнеше күн ішінде өшірді,[57] бірақ әлеуетті шабуылдаушылар бұл туралы ертерек білді ме және ол қаншалықты пайдаланылды деген түсініксіз.[дәйексөз қажет ]

Зерттеушілердің аудиторлық журналдарға жүргізген сараптамаларына сүйене отырып, кейбір шабуылдаушылар кемшіліктерді тауып, жариялағанға дейін кем дегенде бес ай бойы пайдаланған болуы мүмкін екендігі хабарланды.[58][59] Errata Security кеңінен қолданылатын зиянды емес бағдарлама деп атады Маскан, Heartbleed-тің ашылуына алты ай қалғанда енгізілген, қол алысу ортасында Heartbleed сияқты байланысын кенеттен тоқтатып, бірдей сервер журналының хабарламаларын шығарып, «Бір қателік туралы хабарлама шығаратын екі жаңа нәрсе бір-бірімен өзара байланысты болып көрінуі мүмкін, бірақ әрине, олай емес.[60]"

Сәйкес Bloomberg жаңалықтары, аты-жөні аталмаған екі инсайдерлік ақпарат көзі Америка Құрама Штаттарының Ұлттық қауіпсіздік агенттігі пайда болғаннан кейін көп ұзамай-ақ ол туралы білген, бірақ - бұл туралы хабарлаудың орнына - құпия болып саналды нөлдік күн оны NSA-ның мақсаттары үшін пайдалану үшін осалдықтар.[61][62][63] NSA бұл талапты жоққа шығарды,[64] сол сияқты Ричард А. Кларк, мүшесі Зияткерлік және коммуникациялық технологиялар бойынша Ұлттық Зияткерлік Шолу тобы Америка Құрама Штаттарының электрондық қадағалау саясатын қарастырған; ол Reuters-ке 2014 жылы 11 сәуірде NSA Heartbleed туралы білмегенін айтты.[65] Айыптау Америка үкіметін бірінші рет өзінің осалдықтардың нөлдік күндік саясаты туралы көпшілік алдында мәлімдеме жасауға мәжбүр етті, шолушы топтың 2013 жылғы баяндамасының «барлық жағдайларда дерлік қолданылатын кодты кеңейту үшін» ұсынған ұсынысын қабылдап бағдарламалық жасақтаманың осалдығын АҚШ-тың барлау қызметі үшін пайдаланудың орнына, оларды жою ұлттық мүддеге байланысты »және ұстау туралы шешімді NSA-дан Ақ үйге ауыстыру керек деп мәлімдеді.[66]

Мінез-құлық

Heartbleed бейнесі.

The RFC 6520 Heartbeat Extension TLS / DTLS қауіпсіздігінің байланысын тестілеудің бір ұшында компьютерге жіберуге мүмкіндік беру арқылы тексереді Жүрек соғысы туралы өтініш пайдалы жүктен, әдетте мәтіндік жолдан тұратын хабарлама, жүктеменің ұзындығының а 16 бит бүтін. Содан кейін қабылдаушы компьютер жіберушіге дәл осындай пайдалы жүкті жіберуі керек.[дәйексөз қажет ]

OpenSSL-дің әсер еткен нұсқаларында a жад буфері хабарлама сұраныстағы хабарламадағы ұзындық өрісі негізінде, сол хабарламаның нақты жүктемесін ескермей қайтарылуы үшін. Бұл дұрыс орындалмағандықтан шекараларды тексеру, қайтарылған хабарлама пайдалы жүктемеден тұрады, содан кейін бөлінген жад буферінде болған кез келген нәрсе болуы мүмкін.[дәйексөз қажет ]

Сондықтан Heartbleed зардап шегушінің жауабын табу үшін әлсіз тарапқа (әдетте серверге) аз пайдалы жүктеме және үлкен ұзындықтағы өріспен дұрыс емес жүрек соғысы туралы сұрау жіберу арқылы пайдаланылады, бұл шабуылдаушыларға жәбірленушінің жадын 64 килобайтқа дейін оқуға мүмкіндік береді. бұрын OpenSSL қолданған.[67] Жүрек соғысы туралы сауал партиядан «құс» деген төрт әріптен тұратын сөзді қайтаруды »сұрай алады, нәтижесінде« құс »жауап береді,« жүректен қан кету туралы өтініш »(зиянды жүрек соғысы туралы өтініш)« 500 әріпті жіберіңіз » «құс» сөзі жәбірленушінің «құсты» қайтаруына әкеліп соқтырады, содан кейін жадында 496 кейіпкер болған кез-келген белсенді жадыда болады. Шабуылшылар осылайша құрбанның хабарламасының құпиялылығына зиян келтіріп, құпия деректерді ала алады. Шабуылдаушы жадының ашылған көлемін біршама басқарса да, оның орналасуын бақылай алмайды, сондықтан қандай мазмұн ашылғанын таңдай алмайды.[дәйексөз қажет ]

OpenSSL қондырғыларына әсер етті

OpenSSL-дің әсер еткен нұсқалары - OpenSSL 1.0.1-ден 1.0.1f (қоса алғанда). Кейінгі нұсқалары (1.0.1г.)[68] және одан кейінгі нұсқалары (1.0.0 тармағы және одан жоғары) болып табылады емес осал.[69] OpenSSL компиляциясы болмаса, әсер етілген нұсқалардың қондырғылары осал болады -DOPENSSL_NO_HEARTBEATS.[70][71]

Осал бағдарлама және функция

Бағдарламаның осал бастапқы файлдары t1_lib.c және d1_both.c, ал осал функциялары tls1_process_heartbeat () және dtls1_process_heartbeat ().[72][73]

Патч

Мәселе Heartbeat Request хабарламаларын ескермеу арқылы жойылуы мүмкін, олар жүктеме қажеттілігінен гөрі көбірек деректер сұрайды.

OpenSSL 1.0.1г нұсқасы буфердің артық оқылуына жол бермеу үшін кейбір тексерулерді қосады. Мысалы, жүректің соғуы туралы өтініш Heartbleed-ті қоздыратындығын анықтау үшін келесі тест енгізілді; ол зиянды өтініштерді үнсіз алып тастайды.

егер (1 + 2 + пайдалы жүктеме + 16 > с->s3->rrec.ұзындығы) қайту 0; / * 6520 сек үшін үнсіз түрде тастаңыз. 4 * /

OpenSSL нұсқасын басқару жүйесі өзгерістердің толық тізімін қамтиды.[42]

Әсер

Heartbleed шабуылынан алынған мәліметтер құпия болуы мүмкін TLS тараптары арасындағы шифрланбаған алмасуды, соның ішінде кез-келген нысанды қамтуы мүмкін. деректерді орналастыру пайдаланушылардың сұраныстарында. Сонымен қатар, құпия деректерге аутентификация құпиялары кіруі мүмкін печенье сеансы және шабуылдаушыларға қызметті пайдаланушының кейпіне келтіруге мүмкіндік беретін құпия сөздер.[74]

Шабуыл да анықтауы мүмкін жеке кілттер ымыралы тараптардың,[21][23][75] бұл шабуылдаушыларға байланыстың шифрын ашуға мүмкіндік береді (егер пассивті тыңдау арқылы алынған болашақтағы немесе өткендегі трафик) алға қарай құпиялылық пайдаланылады, бұл жағдайда тек болашақ трафиктің көмегімен шифрды шешуге болады ортадағы адам шабуылдары ).[дәйексөз қажет ]

Аутентификация материалын алған шабуылдаушы материал қабылданғанға дейін (мысалы, құпия сөз өзгертілгенге дейін немесе құпия кілт жойылғанға дейін) жәбірленуші Heartbleed-ке жамау салғаннан кейін материал иесін кейіптей алады. Сондықтан Heartbleed құпиялылыққа қауіп төндіреді. Алайда жәбірленушіні кейіптейтін шабуылдаушы деректерді өзгерте алады. Жанама түрде Heartbleed салдары көптеген жүйелер үшін құпиялылықты бұзудан асып кетуі мүмкін.[76]

2014 жылдың сәуірінде американдық ересектерге жүргізілген сауалнама көрсеткендей, 60 пайызы Heartbleed туралы естіген. Интернетті қолданатындардың 39 пайызы өздерінің онлайн шоттарын қорғады, мысалы, парольдерді ауыстыру немесе есептік жазбаларды жою; 29 пайызы Heartbleed қателігі салдарынан жеке ақпаратына қауіп төнеді деп санайды; және 6 пайызы олардың жеке мәліметтері ұрланған деп санайды.[77]

Клиенттің осалдығы

Қате серверлерге қауіп төндіретіндіктен көп көңіл бөлгенімен,[78] Ашық OpenSSL даналарын қолданатын TLS клиенттері де осал. Неде The Guardian сондықтан дубляждалған Кері қан кету, зиянды серверлер Heartbleed-ті пайдаланып, клиенттің осал жадынан деректерді оқи алады.[79] Қауіпсіздік зерттеушісі Стив Гибсон Heartbleed туралы былай деді:

Бұл тек сервер жағындағы осалдық емес, сонымен қатар клиенттің осалдығы, өйткені сервер немесе сіз кімге қосылсаңыз да, олар сіз сұрағандай сізден де жүрек соғуын сұрай алады.[80]

Ұрланған деректерде пайдаланушы аты мен пароль болуы мүмкін.[81] Reverse Heartbleed қолданудың миллиондаған даналарына әсер етті.[79] Кейбір осал қосымшалар тізімінде келтірілген Төмендегі «бағдарламалық жасақтама» бөлімі.[дәйексөз қажет ]

Зардап шеккен нақты жүйелер

Cisco жүйелері өзінің 78 өнімін осал деп тапты, соның ішінде IP телефон жүйелері және телеконференция (бейнеконференциялар) жүйелері.[82]

Веб-сайттар және басқа да онлайн-қызметтер

Орналастырылған талдау GitHub 2014 жылғы 8 сәуірде ең көп қаралған веб-сайттардың ішінде сайттардағы осалдықтар анықталды Yahoo!, Имгур, Stack overflow, Шифер, және DuckDuckGo.[83][84] Келесі сайттарда қызметтерге әсер етілді немесе қатеге жауап ретінде пайдаланушыларға парольдерді жаңартуды ұсынатын хабарламалар жасалды:

Канада федералды үкіметі уақытша онлайн қызметтерін жапты Канада бойынша кірістер агенттігі (CRA) және бірнеше мемлекеттік ведомстволар Heartbleed қателіктерінің қауіпсіздігіне қатысты.[109][110] CRA онлайн-қызметі жабылғанға дейін хакер 900-ге жуық ақша алған әлеуметтік сақтандыру нөмірлері.[111][112] Канада үкіметінің тағы бір агенттігі, Канада статистикасы, оның серверлері қатеге байланысты бұзылып, қызметтерін оффлайн режиміне уақытша алып тастады.[113]

Викимедиа қоры сияқты платформаны ұстаушылар өз қолданушыларына парольдерді өзгертуге кеңес берді.[106]

Серверлері LastPass осал болды,[114] бірақ қосымша шифрлау мен құпиялылықтың салдарынан ықтимал шабуылдар бұл қатені пайдалана алмады. Алайда, LastPass өз пайдаланушыларына осал веб-сайттар үшін құпия сөздерді өзгертуді ұсынды.[115]

The Тор Жоба Tor релелік операторларына және жасырын қызмет операторларына OpenSSL-ді жамап болғаннан кейін жаңа кілттерді жоюға және жасауға кеңес берді, бірақ Tor релеліктерінде екі кілттер жиынтығы қолданылатындығын және Tor-дың көп-хоптық дизайны бір релені пайдалану әсерін азайтады деп атап өтті.[39] Кейінірек Heartbleed қателігіне сезімтал 586 реле сақтық шарасы ретінде желіден тыс алынды.[116][117][118][119]

Ойынға қатысты қызметтер, соның ішінде Бу, Майнкрафт, Wargaming, аңыздар лигасы, GOG.com, Шығу тегі, Sony Online Entertainment, Кішіпейілді байлам, және Жер аудару жолы әсер етті және кейіннен түзетілді.[120]

Бағдарламалық жасақтама

Осал бағдарламалық қосымшаларға мыналар жатады:

  • Бірнеше Hewlett-Packard Linux қосымшаларына арналған HP System Management Homepage (SMH) сияқты серверлік қосымшалар.[121]
  • Кейбір нұсқалары FileMaker 13[122]
  • LibreOffice 4.2.0-ден 4.2.2-ге дейін (4.2.3-те бекітілген)[123][124]
  • LogMeIn «OpenSSL-ге негізделген көптеген қызметтер мен қызметтердің бөліктерін жаңарттық» деп мәлімдеді.[125]
  • Бірнеше Макафи өнімдер, атап айтқанда Microsoft Exchange, бағдарламалық қамтамасыз ету брандмауэрі және McAfee Email және Web Gateways үшін вирусқа қарсы қамтуды қамтамасыз ететін бағдарламалық жасақтаманың кейбір нұсқалары[126]
  • MySQL Workbench 6.1.4 және одан ертерек[127]
  • Oracle MySQL Connector / C 6.1.0-6.1.3 және Connector / ODBC 5.1.13, 5.2.5-5.2.6, 5.3.2[127]
  • Oracle Big Data Appliance (Oracle Linux 6 кіреді)[127]
  • Примавера P6 кәсіптік жобаларды басқару (Primavera P6 Enterprise Project Portfolio Management кіреді)[127]
  • WinSCP (Windows үшін FTP клиенті) 5.5.2 және кейбір алдыңғы нұсқалары (тек TLS / SSL үстіндегі FTP-мен осал, 5.5.3-те бекітілген)[128]
  • Бірнеше VMware өнімдер, оның ішінде VMware ESXi 5.5, VMware ойнатқышы 6.0, VMware Workstation 10 және Horizon өнімдерінің сериясы, эмуляторлар және бұлтты есептеу люксі[129]

Тағы бірнеше Oracle корпорациясы қосымшаларға әсер етті.[127]

Операциялық жүйелер / микробағдарламалық жасақтама

Бірнеше GNU / Linux дистрибутивтері зардап шекті, соның ішінде Дебиан[130] (және сияқты туындылар) Linux Mint және Ubuntu[131]) және Red Hat Enterprise Linux[132] (және сияқты туындылар) CentOS,[133] Oracle Linux 6[127] және Amazon Linux[134]), сондай-ақ келесі операциялық жүйелер мен микробағдарламалық жасақтамалар:

  • Android 4.1.1, әртүрлі портативті құрылғыларда қолданылады.[135] Крис Смит жазады Boy Genius есебі тек осы Android нұсқасы зардап шегеді, бірақ бұл Android-тың танымал нұсқасы (Читика 4.1.1-талап 50 миллион құрылғыда;[136] Google оны белсендірілген Android құрылғыларының 10% -дан азы ретінде сипаттайды). Android-тің басқа нұсқалары осал емес, өйткені олар жүрек соғысы өшірілген немесе OpenSSL-дің әсер етпейтін нұсқасын қолданады.[137][138]
  • Кейбіреулерге арналған бағдарламалық жасақтама AirPort базалық станциялар[139]
  • Кейбіреулерге арналған бағдарламалық жасақтама Cisco жүйелері маршрутизаторлар[82][140][141]
  • Кейбіреулерге арналған бағдарламалық жасақтама Арша желілері маршрутизаторлар[141][142]
  • pfSense 2.1.0 және 2.1.1 (2.1.2-те бекітілген)[143]
  • DD-WRT 19163 және 23881 (23882 жылы тіркелген) арасындағы нұсқалар[144]
  • Western Digital My Cloud өнімінің отбасылық микробағдарламасы[145]

Осалдықтарды тексеру қызметтері

Heartbleed сайтына әсер етпейтіндігін тексеру үшін бірнеше қызметтер ұсынылды. Алайда көптеген қызметтер қатені анықтау үшін тиімсіз деп мәлімделді.[146] Қол жетімді құралдарға мыналар кіреді:

  • Tripwire SecureScan[147]
  • AppCheck - Synopsys Software Integrity Group-тан (бұрынғы Коденомикон) статикалық екілік сканерлеу және бұлдырлау.[148]
  • Arbor Network компаниясының Pravail Security Analytics[149]
  • Norton Safeweb Heartbleed тексеру құралы[150]
  • Еуропалық ақпараттық қауіпсіздік компаниясының Heartbleed тестілеу құралы[151]
  • Итальяндық криптограф Филиппо Валсорданың қан кету сынағы[152]
  • Heartbleed осалдығын тексеру Кибероам[153]
  • Critical Watch Free Online Heartbleed тестері[154]
  • Metasploit Жүректен қан кететін сканер модулі[155]
  • Жүрек қаны қанған Сервер сканері Рехманн[156]
  • Lookout Mobile Security Heartbleed Detector, қосымша Android құрылғының OpenSSL нұсқасын анықтайтын және осал жүрек соғысы қосулы ма екенін көрсететін құрылғылар[157]
  • Жүрек қан кету дойбы LastPass[158]
  • Pentest-Tools.com веб-сайтындағы Heartbleed осалдығын анықтайтын желідегі сканер[159]
  • Ресми Қызыл қалпақ Python тілінде жазылған офлайн сканер[160]
  • Qualys SSL зертханаларының SSL серверін тексеру[161] ол Heartbleed қатесін іздеп қана қоймай, SSL / TLS енгізудің басқа қателерін таба алады.
  • Chromebleed сияқты шолғыш кеңейтімдері[162] және FoxBleed[163]
  • SSL диагностикасы[164]
  • CrowdStrike Heartbleed сканері[165] - желі ішіне қосылған маршрутизаторларды, принтерлерді және басқа құрылғыларды, соның ішінде интранет-веб-сайттарды сканерлейді.[166]
  • Netcraft сайтының есебі[167] - веб-сайттың құпиялылығына Heartbleed-ті бұрын пайдаланғандықтан, Netcraft компаниясының SSL сауалнамасынан алынған мәліметтерді тексеріп, сайт Heartbleed ашылғанға дейін жүрек соғысы TLS кеңейтімін ұсынған-ұсынбағанын тексеріп, қауіп-қатерге ұшырауы мүмкін екенін көрсетеді. Chrome, Firefox және Opera үшін Netcraft кеңейтімдері[168] сондай-ақ ықтимал қаупі бар сертификаттарды іздеу кезінде осы тексерісті жүргізіңіз.[169]

Басқа қауіпсіздік құралдары осы қатені табуға қолдау көрсетті. Мысалы, Tenable Network Security оған плагин жазды Несус осы ақаулықты іздей алатын осалдық сканері.[170] The Nmap қауіпсіздік сканерінде 6.45 нұсқасындағы Heartbleed анықтау сценарийі бар.[171]

Sourcefire шығарды Храп Heartbleed шабуыл трафигін және Heartbleed мүмкін болатын трафикті анықтау ережелері.[172] Сияқты бастапқы коды бар пакеттерді талдау бағдарламалық жасақтамасы Wireshark және tcpdump сақталған пакеттік түсірілімдерде немесе тірі трафикте пайдалануға болатын арнайы BPF дестелік сүзгілері арқылы Heartbleed пакеттерін анықтай алады.[173]

Қалпына келтіру

Heartbleed-тің осалдығы OpenSSL-ді a-ға жаңарту арқылы шешіледі жамау нұсқасы (1.0.1g немесе одан кейінгі нұсқасы). OpenSSL оқшау бағдарлама ретінде қолданыла алады, а динамикалық ортақ нысан немесе а статикалық байланысқан кітапхана; сондықтан жаңарту процесі OpenSSL-дің осал нұсқасымен жүктелген процестерді қайта бастауды, сондай-ақ оны статикалық түрде байланыстырған бағдарламалар мен кітапханаларды қайта байланыстыруды қажет етуі мүмкін. Іс жүзінде бұл OpenSSL-ді статикалық түрде байланыстыратын пакеттерді жаңарту және ескі, осал OpenSSL кодының жадтағы көшірмесін алып тастау үшін іске қосылған бағдарламаларды қайта іске қосу дегенді білдіреді.[дәйексөз қажет ]

Осалдыққа түзетулер енгізілгеннен кейін, сервер әкімшілері құпиялылықтың бұзылуын жоюы керек. Өйткені Heartbleed шабуылдаушылардың ашылуына мүмкіндік берді жеке кілттер, олар ымыраға келу керек; пернетақталар жаңартылуы керек, және сертификаттар оларды қолданатындар қайта шығарылуы керек; ескі сертификаттар болуы керек күші жойылды. Heartbleed сонымен қатар жадтағы басқа құпияларды ашуға мүмкіндік беретін мүмкіндігі болды; сондықтан, басқа аутентификация материалы (мысалы парольдер ) сонымен бірге қалпына келуі керек. Жағдайға әсер еткен жүйенің бұзылмағанын растау немесе белгілі бір ақпараттың жіберілгендігін анықтау сирек мүмкін.[174]

Тіркелгі деректерінің қашан бұзылғанын және оны шабуылдаушы қалай қолданғанын анықтау қиын немесе мүмкін емес болғандықтан, кейбір жүйелер осалдықты жамап, тіркелгі деректерін ауыстырғаннан кейін де қосымша қалпына келтіру жұмыстарына кепілдік бере алады. Мысалы, осал OpenSSL нұсқасында қолданылған кілттермен жасалған қолтаңбаны шабуылдаушы жасаған болуы мүмкін; бұл тұтастықтың бұзылу ықтималдығын арттырады және қолтаңбаларды ашады бас тарту. Қолтаңбаларды тексеру және ықтимал бұзылған кілтпен жасалған басқа аутентификациялардың заңдылығы (мысалы.) клиент сертификаты қолдану) белгілі бір жүйеге қатысты жасалуы керек.[дәйексөз қажет ]

Шолғыштың қауіпсіздік сертификатын қайтарып алу туралы хабардар болу

Heartbleed жеке кілттердің құпиялылығына қауіп төндіргендіктен, бұзылған веб-сайтты пайдаланушылар өздерінің браузерлері сертификаттардың күшін жою туралы хабардар болғанға немесе бұзылған сертификаттардың мерзімі аяқталғанға дейін Heartbleed әсерінен зардап шегуі мүмкін.[175] Осы себепті түзету сонымен қатар қолданушыларға сертификаттың күшін жою туралы соңғы тізімдері бар браузерлерді пайдалануға байланысты болады (немесе OCSP қолдау) және құрмет грамоталарының күшін жою.[дәйексөз қажет ]

Түбірлік себептер, мүмкін сабақтар және реакциялар

Heartbleed-тің жалпы құнын бағалау қиын болғанымен, eWEEK бастапқы нүкте ретінде 500 миллион АҚШ долларын бағалады.[176]

Дэвид А. Уилердің қағазы Келесі жүрек қанының алдын-алу үшін қалай Heartbleed неліктен бұрын ашылмағанын талдайды және тезірек сәйкестендіруге әкелуі мүмкін бірнеше әдістерді, сондай-ақ оның әсерін төмендететін әдістерді ұсынады. Уилердің айтуы бойынша, Heartbleed-ті болдырмауға болатын ең тиімді әдіс - бұл сынақ жиынтығы беріктігін тексеру, яғни жарамсыз кірістерді тексеру сәттілікке емес, сәтсіздікке әкеледі. Уилер бір жалпы мақсаттағы тест-люкс барлық TLS іске асыруларына негіз бола алатындығын атап көрсетеді.[177]

Туралы мақалаға сәйкес Сөйлесу Роберт Меркель жазған, Heartbleed а тәуекелді талдаудың жаппай сәтсіздігі. Меркель OpenSSL қауіпсіздікке қарағанда өнімділікке үлкен мән береді деп ойлайды, бұл оның пікірі бойынша мағынасы болмайды. Бірақ Меркель OpenSSL-ді OpenSSL-ді пайдалануды таңдаған OpenSSL пайдаланушылары сияқты жақсы аудит пен тестілеуді қаржыландырмай-ақ айыптауға болмайды деп санайды. Меркель екі аспект ұқсас қателіктер осалдықты тудыратын қауіпті анықтайды деп түсіндіреді. Біріншіден, кітапхананың бастапқы коды осындай қателіктермен қате жазу қаупіне әсер етеді. Екіншіден, OpenSSL процестері қателерді тез аулау мүмкіндігіне әсер етеді. Бірінші жағынан Меркель C бағдарламалау тілі Виллердің талдауларымен қайталанатын Heartbleed-тің пайда болуына ықпал ететін бір қауіп факторы ретінде.[177][178]

Сол жағынан, Тео де Раадт, негізін қалаушы және жетекшісі OpenBSD және OpenSSH жобалар, OpenSSL әзірлеушілерін өздерінің жадыны басқару процедураларын жазғаны үшін сынға алды және сол арқылы OpenBSD-ден айналып өтті C стандартты кітапхана «OpenSSL-ді жауапты топ жасамайды» деп қарсы шараларды қолдану.[179][180] Heartbleed ашылғаннан кейін OpenBSD жобасының мүшелері айыр OpenSSL ішіне LibreSSL.[181]

Heartbleed-ті енгізген өзгерістің авторы Робин Сеггельманн,[182] деп мәлімдеді ұзындығын қамтитын айнымалыны растауды жіберіп алды және қате іске асыруды ұсыну ниетінен бас тартты.[18] Heartbleed-ті ашқаннан кейін, Сеггельманн OpenSSL-ді жеткілікті адамдар қарастырмайды деп екінші аспектке назар аударуды ұсынды.[183] Сеггельманның жұмысын OpenSSL негізгі әзірлеушісі қарағанымен, шолу функционалдық жақсартуларды тексеруге арналған, бірақ осалдықтарды жіберіп алуды жеңілдетеді.[177]

OpenSSL негізгі әзірлеушісі Бен Лори OpenSSL қауіпсіздік аудиті Heartbleed-ті ұстап алады деп мәлімдеді.[184] Бағдарламалық жасақтама инженері Джон Уолш:

Ойлап көріңіз, OpenSSL-де тек 500 000 жолдық іскери кодты жазу, жүргізу, тексеру және қарау үшін екі [толық жұмыс істейтін] адам бар.[185]

OpenSSL қорының президенті Стив Маркесс: «Жұмбақ дегеніміз - бірнеше жұмыс істейтін еріктілердің бұл қатені жіберіп алуы емес; бұл жұмбақ сондықтан жиі бола бермейді».[186] Дэвид А.Уилер аудитті типтік жағдайларда осалдығын табудың тамаша әдісі деп сипаттады, бірақ «OpenSSL қажетсіз күрделі құрылымдарды пайдаланады, бұл адамдарға да, машиналарға да қарауды қиындатады» деп атап өтті. Ол жазды:

Кодты жеңілдету үшін үнемі күш салу керек, өйткені әйтпесе тек мүмкіндіктерді қосу бағдарламалық жасақтаманың күрделілігін баяу арттырады. Код үнемі жаңа мүмкіндіктер қосып қана қоймай, оны қарапайым әрі түсінікті ету үшін уақыт бойынша өзгертілуі керек. Мақсат «мен ешқандай проблема көре алмайтындай» өте күрделі кодтан айырмашылығы «анық» код болуы керек.[177]

LibreSSL алғашқы аптасында-ақ 90 000-нан астам C кодын алып тастап, үлкен кодты тазартты.[187]

Қауіпсіздік зерттеушісінің айтуы бойынша Дан Каминский, Heartbleed - бұл шешілуі керек экономикалық проблеманың белгісі. Осы қарапайым қатені қарапайым сипаттағы «сыни» тәуелділіктен ұстауға кеткен уақытты көріп, Каминский ештеңе жасалмаса, болашақтағы көптеген осалдықтардан қорқады. Heartbleed ашылған кезде OpenSSL-ді бірнеше еріктілер қолдайды, олардың тек біреуі ғана күндізгі уақытта жұмыс істейді.[188] OpenSSL жобасына жыл сайынғы қайырымдылық шамамен 2000 АҚШ долларын құрады.[189] Codenomicon компаниясының Heartbleed веб-сайты OpenSSL жобасына ақша аударуға кеңес берді.[21] Heartbleed жарияланғаннан кейін 841 АҚШ долларын құрайтын 2 немесе 3 күн ішінде қайырымдылықтар туралы білгеннен кейін Каминский: «Біз әлем экономикасы үшін ең маңызды технологияларды таңқаларлықтай қаржыландырылмаған инфрақұрылым негізінде құрамыз», - деп түсіндірді.[190] Бен Лоридің негізгі әзірлеушісі жобаны «мүлдем қаржыландырылмаған» деп бағалады.[189] OpenSSL бағдарламалық жасақтама қорында жоқ болса да қателіктер бағдарламасы, Internet Bug Bounty бастамасы Heartbleed-ті ашқан Google компаниясының қызметкері Нил Мехтаға жауапты ашқаны үшін 15000 АҚШ долларын сыйлады.[189]

Пол Чиузано Heartbleed бағдарламалық жасақтама экономикасының нәтижесі болуы мүмкін деп болжады.[191]

Саланың ұжымдық реакциясы дағдарысқа қарсы болды Негізгі инфрақұрылымдық бастама, жариялаған миллион долларлық жоба Linux Foundation 2014 жылғы 24 сәуірде әлемдік ақпараттық инфрақұрылымның маңызды элементтеріне қаражат беру.[192] Бастама жетекші әзірлеушілерге өз жобалары бойынша тұрақты жұмыс істеуге және қауіпсіздік аудиті, аппараттық және бағдарламалық қамтамасыз ету инфрақұрылымы, іссапар және басқа шығындарды төлеуге мүмкіндік беруді көздейді.[193] OpenSSL - бастаманы қаржыландырудың алғашқы алушысы болуға үміткер.[192]

Google ашқаннан кейін Zero жобасы оған Интернет пен қоғамды қорғауға көмектесетін нөлдік күндік осалдықтарды табу міндеті қойылды.[194]

Әдебиеттер тізімі

  1. ^ МакКензи, Патрик (9 сәуір 2014). «Heartbleed OSS қауымдастығын маркетинг туралы не үйрете алады». Кальцумеус. Алынған 8 ақпан 2018.
  2. ^ Biggs, John (9 сәуір 2014). «Heartbleed, салқын логотипі бар алғашқы қауіпсіздік қатесі». TechCrunch. Алынған 8 ақпан 2018.
  3. ^ «Қауіпсіздік бойынша кеңес - OpenSSL Heartbleed осалдығы». Кибероам. 11 сәуір 2014 ж. Алынған 8 ақпан 2018.
  4. ^ Лимер, Эрик (9 сәуір 2014). «Heartbleed қалай жұмыс істейді: Интернеттің қорқынышты артындағы код». Алынған 24 қараша 2014.
  5. ^ а б «CVE-2014-0160». Жалпы осалдықтар мен әсер ету. Мите. Алынған 8 ақпан 2018.
  6. ^ «CWE-126: буферді артық оқыған (3.0)». Жалпы осалдықтар мен әсер ету. Мите. 18 қаңтар 2018 ж. Алынған 8 ақпан 2018.
  7. ^ «AL14-005: OpenSSL Heartbleed осалдығы». Киберқауіпсіздік бюллетеньдері. Қоғамдық қауіпсіздік Канада. 11 сәуір 2014 ж. Алынған 8 ақпан 2018.
  8. ^ «Жүректің соғу жиілігінің шектелуін тексеру». git.openssl.org. OpenSSL. Алынған 5 наурыз 2019.
  9. ^ Лейден, Джон (20 мамыр 2014). «Heartbleed ішіндегі AVG: жалғыз қалу қауіпті. Мұны алыңыз (AVG құралы)». Тізілім. Алынған 8 ақпан 2018.
  10. ^ а б Грэм, Роберт (21 маусым 2014). «Екі айдан кейін Heartbleed-ке осал 300k серверлер». Errata қауіпсіздігі. Алынған 22 маусым 2014.
  11. ^ а б Шодан (2017 жылғы 23 қаңтар). «Жүректен қан кету туралы есеп (2017-01)». shodan.io. Архивтелген түпнұсқа 23 қаңтар 2017 ж. Алынған 10 шілде 2019.
  12. ^ а б Шварц, Мэтью Дж. (30 қаңтар 2017). «Heartbleed Lingers: шамамен 180,000 серверлер әлі де осал». Банк туралы ақпарат. Алынған 10 шілде 2019.
  13. ^ а б Mac Vittie, Лори (2 ақпан 2017). «Достық туралы ескерту: бұлттағы қолданбаның қауіпсіздігі - сіздің жауапкершілігіңіз». F5 зертханалары. Алынған 10 шілде 2019.
  14. ^ а б Кэри, Патрик (10 шілде 2017). «Heartbleed-тің күйдіргісі: 5 жасар осалдық неге тістей береді». Қауіпсіздік кітабы. Алынған 10 шілде 2019.
  15. ^ Шодан (2019 жылғы 11 шілде). «[2019] Heartbleed есебі». Шодан. Алынған 11 шілде 2019.
  16. ^ Преториус, Трейси (10 сәуір 2014). «Microsoft қызметтеріне OpenSSL әсер етпейді» Heartbleed «осалдығы». Microsoft. Алынған 8 ақпан 2018.
  17. ^ Сеггельманн, Робин; Тюксен, Майкл; Уильямс, Майкл (ақпан 2012). Тасымалдау қабаттарының қауіпсіздігі (TLS) және тасымалдау қабаттарының қауіпсіздігі (DTLS) жүректің соғуын кеңейту. IETF. дои:10.17487 / RFC6520. ISSN  2070-1721. RFC 6520. Алынған 8 ақпан 2018.
  18. ^ а б Грабб, Бен (11 сәуір 2014). «Heartbleed» қауіпсіздік қателігін енгізген адам оны әдейі жібергенін жоққа шығарады «. Сидней таңғы хабаршысы.
  19. ^ «# 2658: [PATCH] TLS / DTLS жүрек соғуын қосу». OpenSSL. 2011 жыл.
  20. ^ «Интернетті бұза алатын қатені жасаған адаммен танысыңыз». Globe and Mail. 11 сәуір 2014 ж.
  21. ^ а б c г. e «Жүректен қан кеткен қате». 8 сәуір 2014 ж.
  22. ^ Гудин, Дэн (8 сәуір 2014). «OpenSSL-дегі маңызды криптографиялық қате Интернеттің үштен екісін тыңдауға ашады». Ars Technica.
  23. ^ а б Бар-Эль, Хагай (9 сәуір 2014). «OpenSSL» Heartbleed «қатесі: серверде не қаупі бар және не жоқ».
  24. ^ «Марк Дж Кокс - #Heartbleed». Алынған 12 сәуір 2014.
  25. ^ Дьюи, Кейтлин. «Неліктен оны« Жүрек қансыраған қате »деп атайды?».. Алынған 25 қараша 2014.
  26. ^ Ли, Тимоти Б. (10 сәуір 2014). «Осалдықты кім анықтады?». Vox. Алынған 4 желтоқсан 2017.
  27. ^ Ли, Ариана (13 сәуір 2014). «Коденомикон қан тамырларын қаншалықты қате деп тапты, қазір Интернетті жұқтыруда - ReadWrite». ReadWrite. Алынған 4 желтоқсан 2017. Google инженері Нил Мехта мен Финляндияның Codenomicon қауіпсіздік фирмасы өз бетінше ашқан Heartbleed «қазіргі заманғы вебке әсер ететін қауіпсіздік проблемаларының бірі» деп аталды.
  28. ^ «Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä - transl / Фин зерттеушілері Интернеттің жүрегінің қатты ағып кетуін тапты». 10 сәуір 2014 ж. Алынған 13 сәуір 2014.
  29. ^ Қой еті, Пол (8 сәуір 2014). «Heartbleed қатесіне осал жарты миллионға жуық сенімді веб-сайттар». Netcraft Ltd. Алынған 24 қараша 2014.
  30. ^ Перлрот, Николь; Харди, Квентин (2014 жылғы 11 сәуір). "Heartbleed Flaw Could Reach to Digital Devices, Experts Say". New York Times.
  31. ^ Chen, Brian X. (9 April 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times.
  32. ^ Wood, Molly (10 April 2014). "Flaw Calls for Altering Passwords, Experts Say". New York Times.
  33. ^ Manjoo, Farhad (10 April 2014). "Users' Stark Reminder: As Web Grows, It Grows Less Secure". New York Times.
  34. ^ Zhu, Yan (8 April 2014). "Why the Web Needs Perfect Forward Secrecy More Than Ever". Электронды шекара қоры.
  35. ^ Goodin, Dan (8 April 2014). "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica.
  36. ^ "Schneier on Security: Heartbleed". Schneier on Security. 11 сәуір 2014 ж.
  37. ^ Joseph Steinberg (10 April 2014). "Massive Internet Security Vulnerability – Here's What You Need To Do". Forbes.
  38. ^ Kelion, Leo (11 April 2014). "BBC News – US government warns of Heartbleed bug danger". BBC.
  39. ^ а б "OpenSSL bug CVE-2014-0160". Tor Project. 7 сәуір 2014 ж.
  40. ^ Grubb, Ben (14 April 2014), "Heartbleed disclosure timeline: who knew what and when", Сидней таңғы хабаршысы, алынды 25 қараша 2014
  41. ^ "heartbeat_fix". Алынған 14 сәуір 2014.
  42. ^ а б ""complete list of changes" (Git – openssl.git/commitdiff)". OpenSSL жобасы. 7 сәуір 2014 ж. Алынған 10 сәуір 2014.
  43. ^ "Heartbleed certificate revocation tsunami yet to arrive". Netcraft. 11 сәуір 2014 ж. Алынған 24 сәуір 2014.
  44. ^ Paul Mutton (9 May 2014). "Keys left unchanged in many Heartbleed replacement certificates!". Netcraft. Алынған 11 қыркүйек 2016.
  45. ^ Sean Michael Kerner (10 May 2014). "Heartbleed Still a Threat to Hundreds of Thousands of Servers". eWEEK.
  46. ^ Evans, Pete (14 April 2014), Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC жаңалықтары Some of the details are in the video linked from the page.
  47. ^ "Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug". 14 сәуір 2014. мұрағатталған түпнұсқа 4 қараша 2014 ж. Алынған 4 қараша 2014.
  48. ^ Thibedeau, Hannah (16 April 2014). "Heartbleed bug accused charged by RCMP after SIN breach". CBC жаңалықтары.
  49. ^ "Heartbleed hack case sees first arrest in Canada". BBC News. 16 сәуір 2014 ж.
  50. ^ а б Kelion, Leo (14 April 2014). "BBC News – Heartbleed hacks hit Mumsnet and Canada's tax agency". BBC News.
  51. ^ "Mumsnet and Heartbleed as it happened". Mumsnet. Архивтелген түпнұсқа 2017 жылғы 29 желтоқсанда. Алынған 17 сәуір 2014.
  52. ^ Ward, Mark (29 April 2014). "Heartbleed used to uncover data from cyber-criminals". BBC News.
  53. ^ Lawler, Richard (11 April 2014). "Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible". Энгаджет.
  54. ^ "The Heartbleed Challenge". CloudFlare. 2014. мұрағатталған түпнұсқа 12 сәуірде 2014 ж.
  55. ^ Robertson, Jordan (16 April 2014). "Hackers from China waste little time in exploiting Heartbleed". Сидней таңғы хабаршысы.
  56. ^ Sam Frizell. "Time Magazine: Report: Devastating Heartbleed Flaw Was Used in Hospital Hack". Алынған 7 қазан 2014.
  57. ^ Cipriani, Jason (9 April 2014). "Heartbleed bug: Check which sites have been patched". CNET.
  58. ^ Gallagher, Sean (9 April 2014). "Heartbleed vulnerability may have been exploited months before patch". Ars Technica.
  59. ^ Eckersley, Peter. "Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?". Eff.org. Алынған 25 қараша 2014.
  60. ^ Graham, Robert (9 April 2014). "No, we weren't scanning for hearbleed before April 7". Errata Security.
  61. ^ Riley, Michael (12 April 2014). "NSA Said to Exploit Heartbleed Bug for Intelligence for Years". Bloomberg L.P.
  62. ^ Molina, Brett. "Report: NSA exploited Heartbleed for years". USA Today. Алынған 11 сәуір 2014.
  63. ^ Riley, Michael. "NSA exploited Heartbleed bug for two years to gather intelligence, sources say". Қаржы посты. Алынған 11 сәуір 2014.
  64. ^ "Statement on Bloomberg News story that NSA knew about the 'Heartbleed bug' flaw and regularly used it to gather critical intelligence". Ұлттық қауіпсіздік агенттігі. 11 сәуір 2014 ж.
  65. ^ Марк Хосенбол; Will Dunham (11 April 2014). "White House, spy agencies deny NSA exploited 'Heartbleed' bug". Reuters.
  66. ^ Зеттер, Ким. "U.S. Gov Insists It Doesn't Stockpile Zero-Day Exploits to Hack Enemies". wired.com. Алынған 25 қараша 2014.
  67. ^ Hunt, Troy (9 April 2014). "Everything you need to know about the Heartbleed SSL bug".
  68. ^ "git.openssl.org Git – openssl.git/log". git.openssl.org. Архивтелген түпнұсқа 15 сәуір 2014 ж. Алынған 25 қараша 2014.
  69. ^ "Spiceworks Community Discussions". community.spiceworks.com. Алынған 11 сәуір 2014.
  70. ^ The OpenSSL Project (7 April 2014). "OpenSSL Security Advisory [07 Apr 2014]".
  71. ^ "OpenSSL versions and vulnerability [9 April 2014]". Архивтелген түпнұсқа 5 шілде 2014 ж. Алынған 9 сәуір 2014.
  72. ^ "Cyberoam Users Need not Bleed over Heartbleed Exploit". cyberoam.com. Архивтелген түпнұсқа 15 сәуір 2014 ж. Алынған 11 сәуір 2014.
  73. ^ "tls1_process_heartbeat [9 April 2014]". Алынған 10 сәуір 2014.
  74. ^ "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014 жыл.
  75. ^ John Graham-Cumming (28 April 2014). "Searching for The Prime Suspect: How Heartbleed Leaked Private Keys". CloudFlare. Алынған 7 маусым 2014.
  76. ^ Judge, Kevin. "Servers Vulnerable to Heartbleed [14 July 2014]". Архивтелген түпнұсқа 26 тамызда 2014 ж. Алынған 25 тамыз 2014.
  77. ^ Lee Rainie; Maeve Duggan (30 April 2014). "Heartbleed's Impact". Pew Research Internet Project. Pew зерттеу орталығы. б. 2018-04-21 121 2.
  78. ^ Bradley, Tony (14 April 2014). "Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack". PCWorld. IDG Consumer & SMB.
  79. ^ а б Charles Arthur (15 April 2014). "Heartbleed makes 50m Android phones vulnerable, data shows". The Guardian. Guardian News and Media Limited.
  80. ^ "Security Now 451". Twit.Tv. Алынған 19 сәуір 2014.
  81. ^ Ramzan, Zulfikar (24 April 2014). "'Reverse Heartbleed' can attack PCs and mobile phones". SC журналы. Haymarket Media, Inc.
  82. ^ а б "OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products". Cisco жүйелері. 9 сәуір 2014 ж.
  83. ^ "heartbleed-masstest: Overview". GitHub. Алынған 19 сәуір 2014.
  84. ^ Cipriani, Jason (10 April 2014). "Which sites have patched the Heartbleed bug?". CNET. Алынған 10 сәуір 2014.
  85. ^ "Heartbleed FAQ: Akamai Systems Patched". Akamai Technologies. 8 сәуір 2014 ж.
  86. ^ "AWS Services Updated to Address OpenSSL Vulnerability". Amazon веб-қызметтері. 8 сәуір 2014 ж.
  87. ^ "Dear readers, please change your Ars account passwords ASAP". Ars Technica. 8 сәуір 2014 ж.
  88. ^ "All Heartbleed upgrades are now complete". BitBucket Blog. 9 сәуір 2014 ж.
  89. ^ "Keeping Your BrandVerity Account Safe from the Heartbleed Bug". BrandVerity Blog. 9 сәуір 2014 ж.
  90. ^ "Twitter / freenodestaff: we've had to restart a bunch..." 8 сәуір 2014 ж.
  91. ^ "Security: Heartbleed vulnerability". GitHub. 8 сәуір 2014 ж.
  92. ^ "IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed". LifeHacker. 8 сәуір 2014 ж.
  93. ^ "Heartbleed bug and the Archive | Internet Archive Blogs". 9 сәуір 2014 ж. Алынған 14 сәуір 2014.
  94. ^ "Twitter / KrisJelbring: If you logged in to any of". Twitter.com. 8 сәуір 2014 ж. Алынған 14 сәуір 2014.
  95. ^ "The widespread OpenSSL 'Heartbleed' bug is patched in PeerJ". PeerJ. 9 сәуір 2014 ж.
  96. ^ "Was Pinterest impacted by the Heartbleed issue?". Help Center. Pinterest. Архивтелген түпнұсқа 21 сәуір 2014 ж. Алынған 20 сәуір 2014.
  97. ^ "Heartbleed Defeated". Архивтелген түпнұсқа 5 маусым 2014 ж. Алынған 13 сәуір 2014.
  98. ^ Staff (14 April 2014). "We recommend that you change your reddit password". Reddit. Алынған 14 сәуір 2014.
  99. ^ "IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI". Алынған 13 сәуір 2014.
  100. ^ Codey, Brendan (9 April 2014). "Security Update: We're going to sign out everyone today, here's why". SoundCloud.
  101. ^ "SourceForge response to Heartbleed". SourceForge. 10 сәуір 2014 ж.
  102. ^ "Heartbleed". SparkFun. 9 сәуір 2014 ж.
  103. ^ "Heartbleed". Жолақ (компания). 9 сәуір 2014 ж. Алынған 10 сәуір 2014.
  104. ^ "Tumblr Staff-Urgent security update". 8 сәуір 2014 ж. Алынған 9 сәуір 2014.
  105. ^ Hern, Alex (9 April 2014). "Heartbleed: don't rush to update passwords, security experts warn". The Guardian.
  106. ^ а б Grossmeier, Greg (8 April 2014). "[Wikitech-l] Fwd: Security precaution – Resetting all user sessions today". Викимедиа қоры. Алынған 9 сәуір 2014.
  107. ^ Grossmeier, Greg (10 April 2014). "Wikimedia's response to the "Heartbleed" security vulnerability". Wikimedia Foundation blog. Викимедиа қоры. Алынған 10 сәуір 2014.
  108. ^ "Wunderlist & the Heartbleed OpenSSL Vulnerability". 10 сәуір 2014. мұрағатталған түпнұсқа 13 сәуір 2014 ж. Алынған 10 сәуір 2014.
  109. ^ "Security concerns prompts tax agency to shut down website". CTV жаңалықтары. 9 сәуір 2014 ж. Алынған 9 сәуір 2014.
  110. ^ "Heartbleed: Canadian tax services back online". CBC жаңалықтары. Алынған 14 сәуір 2014.
  111. ^ Ogrodnik, Irene (14 April 2014). "900 SINs stolen due to Heartbleed bug: Canada Revenue Agency | Globalnews.ca". globalnews.ca. Global News. Алынған 4 мамыр 2019.
  112. ^ Seglins, Dave (3 December 2014). "CRA Heartbleed hack: Stephen Solis-Reyes facing more charges". cbc.ca. CBC жаңалықтары. Алынған 4 мамыр 2019.
  113. ^ "The Statistics Canada Site Was Hacked By an Unknown Attacker". Vice - Motherboard. Алынған 23 желтоқсан 2018.
  114. ^ Fiegerman, Seth (14 April 2014). "The Heartbleed Effect: Password Services Are Having a Moment". Mashable.
  115. ^ "LastPass and the Heartbleed Bug". LastPass. 8 сәуір 2014 ж. Алынған 28 сәуір 2014.
  116. ^ "[tor-relays] Rejecting 380 vulnerable guard/exit keys". Lists.torproject.org. Алынған 19 сәуір 2014.
  117. ^ "Tor Weekly News—April 16th, 2014 | The Tor Blog". Blog.torproject.org. Алынған 19 сәуір 2014.
  118. ^ Gallagher, Sean (17 May 2012). "Tor network's ranks of relay servers cut because of Heartbleed bug". Ars Technica. Алынған 19 сәуір 2014.
  119. ^ Mimoso, Michael. "Tor Blacklisting Exit Nodes Vulnerable to Heartbleed Bug | Threatpost | The first stop for security news". Threatpost. Алынған 19 сәуір 2014.
  120. ^ Paul Younger (11 April 2014). "PC game services affected by Heartbleed and actions you need to take". IncGamers.
  121. ^ "HP Servers Communication: OpenSSL "HeartBleed" Vulnerability". 18 сәуір 2014. мұрағатталған түпнұсқа 2016 жылғы 4 наурызда.
  122. ^ "FileMaker products and the Heartbleed bug". 6 мамыр 2014 ж.
  123. ^ italovignoli (10 April 2014). "LibreOffice 4.2.3 is now available for download". The Document Foundation. Мұрағатталды түпнұсқасынан 2014 жылғы 12 сәуірде. Алынған 11 сәуір 2014.
  124. ^ "CVE-2014-0160". LibreOffice. 7 сәуір 2014 ж. Алынған 2 мамыр 2014.
  125. ^ "LogMeIn and OpenSSL". LogMeIn. Алынған 10 сәуір 2014.
  126. ^ "McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products". McAfee KnowledgeBase. Макафи. 17 сәуір 2014 ж.
  127. ^ а б c г. e f "OpenSSL Security Bug - Heartbleed / CVE-2014-0160". Алынған 12 мамыр 2014.
  128. ^ "Recent Version History". WinSCP. 14 сәуір 2014 ж. Алынған 2 мамыр 2014.
  129. ^ "Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed"". VMware, Inc. Алынған 17 сәуір 2014.
  130. ^ "DSA-2896-1 openssl—security update". The Debian Project. 7 сәуір 2014 ж.
  131. ^ "Ubuntu Security Notice USN-2165-1". Canonical, Ltd. 7 April 2014. Алынған 17 сәуір 2014.
  132. ^ "Important: openssl security update". Red Hat, Inc. 8 April 2014.
  133. ^ "Karanbir Singh's posting to CentOS-announce". centos.org. 8 сәуір 2014 ж.
  134. ^ "Amazon Linux AMI Security Advisory: ALAS-2014-320". Amazon Web Services, Inc. 7 April 2014. Алынған 17 сәуір 2014.
  135. ^ "Android 4.1.1 devices vulnerable to Heartbleed bug, says Google". NDTV Convergence. 14 сәуір 2014 ж.
  136. ^ "Around 50 million Android smartphones are still vulnerable to the Heartbleed Bug". Fox News. 17 сәуір 2014 ж.
  137. ^ "Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected". BGR Media. 16 сәуір 2014 ж.
  138. ^ Blaich, Andrew (8 April 2014). "Heartbleed Bug Impacts Mobile Devices". Bluebox. Архивтелген түпнұсқа 6 мамыр 2014 ж.
  139. ^ Snell, Jason (22 April 2014). "Apple releases Heartbleed fix for AirPort Base Stations". Macworld.
  140. ^ Kleinman, Alexis (11 April 2014). "The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do". Huffington Post.
  141. ^ а б Yadron, Danny (10 April 2014). "Heartbleed Bug Found in Cisco Routers, Juniper Gear". Dow Jones & Company, Inc.
  142. ^ "2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)". Арша желілері. 14 сәуір 2014 ж.
  143. ^ "OpenSSL "Heartbleed" Information Disclosure, ECDSA". Electric Sheep Fencing LLC. 8 сәуір 2014 ж. Алынған 2 мамыр 2014.
  144. ^ "OpenVPN affected by OpenSSL bug CVE-2014-016?". DD-WRT Forum. Алынған 26 ақпан 2017.
  145. ^ "Heartbleed Bug Issue". Western Digital. 10 сәуір 2014. мұрағатталған түпнұсқа 19 сәуір 2014 ж.
  146. ^ Brewster, Tom (16 April 2014). "Heartbleed: 95% of detection tools 'flawed', claim researchers". The Guardian. Guardian News and Media Limited.
  147. ^ "Tripwire SecureScan". Tripwire – Take Control of IT Security and Regulatory Compliance with Tripwire Software. Алынған 7 қазан 2014.
  148. ^ "AppCheck – static binary scan, from Codenomicon". Архивтелген түпнұсқа 2014 жылғы 17 қазанда. Алынған 7 қазан 2014.
  149. ^ "Arbor Network's Pravail Security Analytics". Архивтелген түпнұсқа 11 сәуір 2014 ж. Алынған 7 қазан 2014.
  150. ^ "Norton Safeweb Heartbleed Check Tool". Алынған 7 қазан 2014.
  151. ^ "Heartbleed OpenSSL extension testing tool, CVE-2014-0160". Possible.lv. Алынған 11 сәуір 2014.
  152. ^ "Test your server for Heartbleed (CVE-2014-0160)". Алынған 25 қараша 2014.
  153. ^ "Cyberoam Security Center". Архивтелген түпнұсқа 15 сәуір 2014 ж. Алынған 25 қараша 2014.
  154. ^ "Critical Watch :: Heartbleed Tester :: CVE-2014-0160". Heartbleed.criticalwatch.com. Архивтелген түпнұсқа 14 сәуір 2014 ж. Алынған 14 сәуір 2014.
  155. ^ "metasploit-framework/openssl_heartbleed.rb at master". Алынған 25 қараша 2014.
  156. ^ "OpenSSL Heartbeat Vulnerability Check (Heartbleed Checker)". Алынған 25 қараша 2014.
  157. ^ "Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App". Lookout Mobile Security блог. 9 сәуір 2014 ж. Алынған 10 сәуір 2014.
  158. ^ "Heartbleed checker". LastPass. Алынған 11 сәуір 2014.
  159. ^ "OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools". Pentest-tools.com. Алынған 11 сәуір 2014.
  160. ^ Stafford, Jared (14 April 2014). "heartbleed-poc.py". Red Hat, Inc.
  161. ^ "Qualys's SSL Labs' SSL Server Test". Алынған 7 қазан 2014.
  162. ^ "Chromebleed". Алынған 7 қазан 2014.
  163. ^ "FoxBleed". Архивтелген түпнұсқа 12 қазан 2014 ж. Алынған 7 қазан 2014.
  164. ^ "SSL Diagnos". SourceForge. Алынған 7 қазан 2014.
  165. ^ "CrowdStrike Heartbleed Scanner". Алынған 7 қазан 2014.
  166. ^ Lynn, Samara. "Routers, SMB Networking Equipment – Is Your Networking Device Affected by Heartbleed?". PCMag.com. Алынған 24 сәуір 2014.
  167. ^ "Netcraft Site Report". Алынған 7 қазан 2014.
  168. ^ "Netcraft Extensions". Алынған 7 қазан 2014.
  169. ^ Mutton, Paul (24 June 2014). "Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera". Netcraft.
  170. ^ Mann, Jeffrey (9 April 2014). "Tenable Facilitates Detection of OpenSSL Vulnerability Using Nessus and Nessus Perimeter Service". Tenable Network Security.
  171. ^ "Nmap 6.45 Informal Release". 12 сәуір 2014 ж.
  172. ^ "VRT: Heartbleed Memory Disclosure – Upgrade OpenSSL Now!". 8 сәуір 2014 ж.
  173. ^ "Blogs | How to Detect a Prior Heartbleed Exploit". Riverbed. 9 сәуір 2014 ж.
  174. ^ "Patched Servers Remain Vulnerable to Heartbleed OpenSSL | Hayden James". Haydenjames.io. Алынған 10 сәуір 2014.
  175. ^ "Security Certificate Revocation Awareness – Specific Implementations". Gibson Research Corporation. Алынған 7 маусым 2014.
  176. ^ Sean Michael Kerner (19 April 2014). "Heartbleed SSL Flaw's True Cost Will Take Time to Tally". eWEEK.
  177. ^ а б c г. A. Wheeler, David (29 April 2014). "How to Prevent the next Heartbleed".
  178. ^ Merkel, Robert (11 April 2014). "How the Heartbleed bug reveals a flaw in online security". Сөйлесу.
  179. ^ "Re: FYA: http: heartbleed.com". Gmane. Архивтелген түпнұсқа 11 сәуір 2014 ж. Алынған 11 сәуір 2014.
  180. ^ "Theo De Raadt's Small Rant On OpenSSL". Slashdot. Dice. 10 сәуір 2014 ж.
  181. ^ "OpenBSD has started a massive strip-down and cleanup of OpenSSL". OpenBSD journal. 15 сәуір 2014 ж.
  182. ^ Lia Timson (11 April 2014). "Who is Robin Seggelmann and did his Heartbleed break the internet?". Сидней таңғы хабаршысы.
  183. ^ Williams, Chris (11 April 2014). "OpenSSL Heartbleed: Bloody nose for open-source bleeding hearts". Тізілім.
  184. ^ Smith, Gerry (10 April 2014). "How The Internet's Worst Nightmare Could Have Been Avoided". Huffington Post. The bug revealed this week was buried inside 10 lines of code and would have been spotted in an audit, according to Laurie, who works on the security team at Google.
  185. ^ John Walsh (30 April 2014). "Free Can Make You Bleed". ssh communications security. Архивтелген түпнұсқа 2016 жылғы 2 желтоқсанда. Алынған 11 қыркүйек 2016.
  186. ^ Walsh, John (30 April 2014). "Free Can Make You Bleed". SSH Communications Security.
  187. ^ Seltzer, Larry (21 April 2014). "OpenBSD forks, prunes, fixes OpenSSL". Нөл күні. ZDNet. Алынған 21 сәуір 2014.
  188. ^ Pagliery, Jose (18 April 2014). "Your Internet security relies on a few volunteers". CNNMoney. Cable News Network.
  189. ^ а б c Perlroth, Nicole (18 April 2014). "Heartbleed Highlights a Contradiction in the Web". The New York Times. New York Times компаниясы.
  190. ^ Kaminsky, Dan (10 April 2014). "Be Still My Breaking Heart". Dan Kaminsky's Blog.
  191. ^ Chiusano, Paul (8 December 2014). "The failed economics of our software commons, and what you can about it right now". Paul Chiusano's blog.
  192. ^ а б "Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects". Linux қоры. 24 сәуір 2014.
  193. ^ Paul, Ian (24 April 2014). "In Heartbleed's wake, tech titans launch fund for crucial open-source projects". PCWorld.
  194. ^ "Google Project Zero aims to keep the Heartbleed Bug from happening again". TechRadar. Алынған 9 сәуір 2017.

Библиография

Сыртқы сілтемелер