geri
Heartbleed Güvenlik Açığı
07.04.2014 itibariyle OpenSSL 1.0.1 sürümlerinde ve 1.0.2-beta sürümünde 'Heartbleed' isimli bir açık yayınlandı. Bu açık, CVE (Common Vulnerabilities and Exposures) standardı tarafından 'CVE-2014-0160' başlığı altında duyurulmuştur.

07.04.2014 itibariyle OpenSSL 1.0.1 sürümlerinde ve 1.0.2-beta sürümünde 'Heartbleed' isimli bir açık yayınlandı. Bu açık, CVE (Common Vulnerabilities and Exposures) standardı tarafından 'CVE-2014-0160' başlığı altında duyurulmuştur. Konu Elektronik Sertifika Hizmet Sağlayıcılarının (ESHS) verdikleri SSL sertifikaları ile ilgili olmayıp, doğrudan web sunucularındaki OpenSSL kütüphanesinin belli sürümlerindeki yazılım hatasından kaynaklanmaktadır. Web sitelerindeki, e-postalardaki, anlık mesajlaşmalarındaki ve sanal özel ağ uygulamalarındaki, X.509 sertifikaları özel (gizli) anahtarları, kullanıcı adları, parolalar ve gizli belgeler gibi birçok verinin ifşasına neden olabilmektedir. Açık, temel olarak etkilenen OpenSSL sürümlerini kullanan son kullanıcı ve sunucularda OpenSSL TLS Heartbeat (RFC 6520 uyumlu) eklentisi kullanılarak, 64KB’a kadar bellek verisi okunması şeklinde çalışmaktadır.

  • Bu açık kullanılarak, hiçbir iz bırakmadan, kritik olarak addedilen şifrelenmiş veriler ele geçirilebilir.
  • OpenSSL dünya genelinde yaygın kullanıma sahiptir; dünya geneli aktif internet sitelerinin %66'sının faydalandığı Apache ve Nginx platformları OpenSSL kullanmaktadır.

Mart 2012’de yayımlanan OpenSSL 1.0.1 sürümünden başlayarak toplam sekiz sürümde bu açık bulunmaktadır. Açıktan etkilenen sürümlerin yayımlanma tarihleri aşağıdaki gibidir;

  • OpenSSL 1.0.1, Mart 2012
  • OpenSSL 1.0.1a, Nisan 2012
  • OpenSSL 1.0.1b, Nisan 2012
  • OpenSSL 1.0.1c, Mayıs 2012
  • OpenSSL 1.0.1d, Şubat 2013
  • OpenSSL 1.0.1e, Şubat 2013
  • OpenSSL 1.0.1f, Ocak 2014
  • OpenSSL 1.0.2-beta1, Şubat 2014

Açığın giderilebilmesi için aşağıdaki aksiyonlardan kurum için uygun olanın kullanılması önerilmektedir;

  • 1.0.1 ve devam sürümleri için 1.0.1g sürümüne yükseltilmesi,
  • 1.0.2-beta sürümü kullanan veya sürüm yükseltmesi yapamayacak durumda olan kullanıcılar için yazılımın DOPENSSL_NO_HEARTBEATS parametresi ile tekrar derlenerek, açığa neden olan 'heartbeat' eklentisinin kapatılması.
Müşteri Hizmetleri 0850 222 444 6