اخطار امنیتی - باگ Heartbleed کشف شد.
امروز (۱۹ فروردین ۱۳۹۳ و ۸ آوریل ۲۰۱۴) یک آسیب پذیری بسیار مهم در OpenSSL کشف و راه حل اجتناب از آن نیز ارائه شده است.
این مشکل تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه میدهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.
این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث میشود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده میکنند، آسیب پذیر باشند. همهی ارتباطها از طریق https (که بیشتر سرویسهای برخط ایمیل، و چت از آن استفاده میکنند) smtp و imap (که برای تبادل ایمیل استفاده میشود) و اتصالهای امن VPN و SSH همه در معرض خطر هستند. این خطر ارتباط امن بانکهای اینترنتی را نیز تهدید میکند.
این مشکل خطرناک در حقیقت اجازه میدهد که هر کاربری در ارتباط دو سویهی امن (با TLS) بتواند (در هر اتصال) 64KB از حافظهی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل میتوان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظهی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایتهای https محدود نمیشود، بلکه هر سروری که به عنوان کاربر به https دیگر سایتها نیز متصل میشود، آسیب پذیر است.
بر اساس گزارش NetCraft در سال ۲۰۱۴ بیش از ۶۶٪ سایتها از سرورهایی استفاده میکنند که بالقوه این آسیب پذیری را دارند. گستره و اهمیت این آسیب پذیری به حدی است یک سایت مستقل (heartbleed.com) برای توضیح جوانب مختلف آن ایجاد شده است.
منبع: وبلاگ بیان
برای کسب اطلاعات بیشتر به سایت http://heartbleed.com مراجعه نمایید.
کلیه مشترکین سرورهای مجازی و اختصاصی لینوکس لازم است تا با به روز رسانی سیستم عامل و یا openssl خود، این مشکل را حل نمایند. در صورت عدم توانایی و دانش فنی برای رفع این مشکل، لطفا مشخصات سرور خود را برای ما تیکت نمایید تا مشکل شما را حل نماییم.
با تشکر
واحد پشتیبانی اطلس رایان
- برچسب ها: میزبانی وب, هاست ارزان, هاست امریکا, هاست ایران, هاست رایگان, هاستینگ