Ozbiljna ranjivost u OpenSSL-u (Heartbleed Bug)
Početkom tjedna otkrivena je ozbiljna ranjivost (CVE-2014-0160) preljeva spremnika prilikom čitanja memorije u OpenSSL-u, a omogućuje krađu informacija zaštićenih SSL/TLS enkripcijom. Slanjem posebno oblikovanog upita poslužitelju (eng. heartbeat) moguće je izvući 64KB podataka, a ovisno o sustavu, najčešće ne ostaju nikakvi tragovi. Ranjivost je otkrivena tek nakon dvije godine u kodu biblioteke za baratanje šifriranjem. Ranjivost nekog poslužitelja može se testirati ovdje http://filippo.io/Heartbleed/.
Ukratko
Heartbleed bug (http://en.wikipedia.org/wiki/Heartbleed_bug) je ozbiljan sigurnosni propust u aplikaciji OpenSSL v1.0.1 do verzije 1.0.1.f.
Sigurosni propust omogućava napadaču čitanje dijelova memorije servera i klijenata koji kod spajanja koriste SSL protokol kroz implementaciju heartbeat ekstenzije u OpenSSL aplikaciji.
OpenSSL pruža kritičnu funkcionalanost internetskog ekosistema, a time ranjivosti, kao što je Heartbleed, imaju značajan utjecaj na digitalnu komunikaciju i njihov integritet.
Što to znači za korisnike Studio4web hosting usluga?
SSL je važan protokol za zaštitu web prometa, kao i za zaštitu login podataka, platnih transakcija, i sl. Studio4web korisničke stranice, kao i sve druge web aplikacije, oslanjaju se na web servere za ispravnu implementaciju SSL protokola. Studio4web korisničke stranice ne mogu ispraviti OpenSSL Heartbleed sigurnosni propust, niti ga mogu zaobići. Međutim, kao član internetske zajednice, smatramo da je važno podizanje svijesti o opasnosti i osigurati da naši korisnici provjere da je njihov server zaštićen.
Kako mogu provjeriti da li je moj server zaštićen?
Postoji nekoliko načina provjere:
1) Možete kontaktirati svojeg hosting providera za provjeru servera ili stranice.
2) Nekoliko adresa na kojima sami možete provjeriti da li je hosting server vaše web stranice podložan heartbleed sigurnosnom propustu:
Što učiniti ako moj hosting server nije zaštićen?
Odmah kontaktirajte svojeg sistem administratora ili hosting providera! Oni imaju dovoljno tehničkog iskustva da na vašem serveru odmah ažuriraju OpenSSL aplikaciju za daljnju zaštitu SSL komunikacije.
Jednom kada je server zaštićen, da li je potrebno još što učiniti?
Zbog prirode ranjivosti nije moguće odmah znati koje informacije, uključujući i privatne ključeve, lozinke ili sessioni, mogu biti ugroženi. Napadi koji se temelje na Heartbleed bugu javljaju se vrlo rano u procesu razmjene informacija, prije nego što je ostvarena puna veza i na taj način ne ostavljaju nikakve tragove u povijesti log zapisa da je uopće došlo do napada.
Zbog predostrožnosti, preporučamo da regenerirate sve SSH ključeve, kao i da zatražite ponovno izdavanje svih SSL certifikata koji su u upotrebi.
Također preporučujemo da zbog predostrožnosti promijenite lozinke koje koristite za prijavu u sustav korisničkih stranica, cPanel-a, FTP-a i email adresa.
Studio4web stranica, web serveri i SSL certifikati su zaštićeni završno sa 07.04.2014 kada je javno objavljen sigurnosni propust.
Bilo koja komunikacija sa našim serverima, kao što je prijava u korisničke stranice, nije podložna Heartbleed sigurnosnom propustu nakon javne objave.
Heartbleed bug bitno utječe na prijenos sigurnih podataka po internetu. Zbog toga apeliramo na sve naše klijente da odmah obavite promjenu svojih lozinki. Molimo vas da zapamtite da uvijek koristite jedinstvene lozinke, slučajno generirane, i obavezno ih povremeno zamijenite novima.