Heartbleed açıklığı vulnerable openssl versiyonlarında memory bazlı okumaya olanak veriyor.
Kimler Etkilendi?
Dünya üzerindeki web sunucularının %66’sı apache ve nginx üzerinde koşmakta, açık kaynak web sunucularında openssl kullanıldığını düşünürsek zaafiyetten etkilenen sistem sayısı oldukça yüksek. Openvpn ve openssl kullanan vpn şirketlerinin de zaafiyetten etkilendiği tespit edildi.
Zaafiyetin sömürülmesi için gereken exploit kodu exploit-db olmak üzere customize edilerek birçok farklı sitede yayınlandı.
Kaynak:
http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html
OpenSSL’in hangi versiyonları etkilendi?
OpenSSL 1.0.1 through 1.0.1f (dahil) olmak üzere etkilendi.
Etkilenmeyen versiyonlar:
OpenSSL 1.0.1g
OpenSSL 1.0.0
OpenSSL 0.9.8
Etkilenen İşletim Sistemleri:
Ubuntu 13.10
Ubuntu 12.10
Ubuntu 12.04 LTS
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Etkilenmeyen İşletim Sistemleri:
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
Açıklığa maruz kalıp kalmadığınızı tespit etmek için:
Comodo Openssl zaafiyet kontrolü:
https://sslanalyzer.comodoca.com/
Alınması Gereken Önlemler:
Açıklığı güncelleme imkanı olmayan kullanıcılar openssl’in sitesinden 1.0.1g versiyonunu indirerek gerekli önlemi alabilirler.
Openssl 1.0.1g Versiyon:
İndirme adresi:https://www.openssl.org/source/openssl-1.0.1g.tar.gz
Redhat,Suse ve Centos Kullanıcıları için önlem:
yum update
yum upgrade komutları girilerek sunucu güncellemesi yapılmalıdır.
Ubuntu Kullanıcıları önlem:
apt-get update
apt-get dist-upgrade
sudo apt-get install –only-upgrade openssl
sudo apt-get install –only-upgrade libssl1.0.0
Not:Açıklık memory’de gerçekleştiği için sunucunun ya da vulnerable servislerin yeniden başlatılması gerekmektedir.
Web sitesi sertifikaları açıklığa maruz kalan kullanıcıların sertifika sağlıyıcıları ile irtibata geçerek sertifikalarını tekrar yenilemeleri gerekmektedir.
Kaynaklar:
www.heartbleed.com