در معرض خطر قرار گرفتن ارتباطات در یاهو

امروز خبری منتشر شد که در openSSL رخنه‌ای پیدا شده با عنوان Heartbleed که در صورت سوء استفاده موفقیت آمیز از این آسیب پذیری، مهاجمان می توانند تمامی اطلاعات ردو بدل شده بین کاربر و یک ارائه دهنده خدمات وب را مشاهده نمایند و یا حتی می توانند ترافیک های جمع آوری شده را رمزگشایی کنند. هم چنین مهاجمان می توانند ارتباطات را استراق سمع کنند، داده ها را به طور مستقیم از کاربران و وب سایت ها به سرقت ببرند و یا حتی هویت کاربر و سرویس را جعل کنند.

با توجه به اینکه این باگ هنوز در سایت یاهو وجود دارد و توسط متخصصین یاهو پچ نشده است. قویاً توصیه می‌کنم:

1- در صورتی که صاحب سایت هستید هر چه سریعتر این کتابخانه را به ورژن‌های جدید به روز رسانی کنید.

2- برای اطلاع از اینکه سایت شما دارای این آسیب‌پذیری است از سایت زیر استفاده کنید:

http://filippo.io/Heartbleed

3- تحت هیچ شرایط تا اطلاع از آگاهی رفع این باگ به ایمیل خود در یاهو لاگین نکنید. زیرا طبق اعلام یکی از متخصصین در توییتر ایمیل و پسورد به راحتی مشاهده می‌شود.

4- پس از پچ شدن این باگ حتما پسورد ایمیل خود را تعویض و اطلاعات کاربری خود را چک کنید.

5 برای بسیاری از سایتها این باگ هنوز وجود دارد؛ بنابراین موارد امنیت سایبری خود را در نظر داشته باشید.

متن خبر:

کارشناسان امنیت رایانه به ادمین ها توصیه می کنند تا رخنه جدی موجود در یک کتابخانه نرم افزاری که توسط میلیون ها وب سایت برای رمزگذاری ارتباطات حساس استفاده می شود را اصلاح نمایند.

این رخنه با نام مستعار "Heartbleed" در چندین نسخه از OpenSSL وجود دارد. OpenSSL یک کتابخانه رمزگذاری است که رمزگذاری های SSL و TLS را ارائه می دهد. اکثر وب سایت ها برای رمزگذاری از SSL و TLS استفاده می کنند که در مرورگرها با علامت قفل نشان داده می شود.

این رخنه که برای اولین بار در دسامبر سال 2011 معرفی شد در OpenSSL نسخه 1.0.1g اصلاح شده است. نسخه های آسیب پذیر OpenSSL، نسخه های 1.0.1 تا 1.0.1f می باشد البته در این میان نسخه های 1.0.0 و 0.9.8 تحت تاثیر این رخنه قرار ندارند.

در صورت سوء استفاده موفقیت آمیز از این آسیب پذیری، مهاجمان می توانند تمامی اطلاعات ردو بدل شده بین کاربر و یک ارائه دهنده خدمات وب را مشاهده نمایند و یا حتی می توانند ترافیک های جمع آوری شده را رمزگشایی کنند. هم چنین مهاجمان می توانند ارتباطات را استراق سمع کنند، داده ها را به طور مستقیم از کاربران و وب سایت ها به سرقت ببرند و یا حتی هویت کاربر و سرویس را جعل کنند.

این رخنه توسط سه محقق از شرکت امنیتی Codenomicon و Neel Mehta از شرکت گوگل کشف شده است. دامنه این مشکل وسیع است و تمامی سیستم عامل های امروزی ممکن است نسخه ای آسیب پذیر از OpenSSL را داشته باشند. سیستم عامل هایی که ممکن است تحت تاثیر یک نسخه آُسیب پذیر از OpenSSL قرار داشته باشند عبارتند از: Debian Wheezy، Ubuntu 12.04.4 LTS، CentOS 6.5، Fedora 18، OpenBSD 5.3، FreeBSD 8.4، NetBSD 5.0.2 و OpenSUSE 12.2.

این کتابخانه در دو وب سرور معروف آپاچی و nginx مورد استفاده قرار می گیرد. هم چنین برای حفاظت از سرورهای پست الکترونیکی، سرورهای چت، شبکه های خصوصی مجازی و سایر لوازم شبکه از این کتابخانه استفاده می شود.

به مدیران شبکه توصیه می شود تا آخرین نسخه SSL را اعمال نمایند، کلیدهایی که ممکن است با مشکل مواجه شده باشند را لغو نموده و کلیدهای جدیدی ایجاد نمایند.