Η τρύπα ασφαλείας της OpenSSL με το όνομα Heartbleed που ανακαλύφθηκε, είναι ένα τόσο σοβαρό θέμα για την ασφάλεια του Διαδικτύου που σήμερα, όλοι οι σχετικοί μιλάνε για αυτό. Η OpenSSL 1,01 – είναι η μία έκδοση που έχει πληγεί – είχε κυκλοφορήσει από τις 12 Μαρτίου του 2012. Αυτό σημαίνει ότι δεκάδες εκατομμύρια ιστοσελίδες ήταν δυνητικά ευάλωτες σε επιθέσεις μέσω αυτής της ευπάθειας. Ευτυχώς, η OpenSSL επιδιορθώθηκε με την κυκλοφορία του OpenSSL 1,01g στις 7 Απριλίου.
Πόσο σοβαρή είναι η ευπάθεια; Δημοφιλή sites όπως το Yahoo, το Imgur και το Okcupid όλα υποφέρουν από αυτή. Η OpenSSL είναι το προεπιλεγμένο Secure-Socket Layer/Transport Layer Security (SSL/TLS) για τους διακομιστές του Web, Apache και Nginx. Σύμφωνα με ορισμένες εκτιμήσεις υποστηρίζουν τα δύο τρίτα του συνόλου των “ασφαλών” Web sites είναι ευάλωτα στο bug Ηeartbleed.
Το θέμα γίνεται ακόμα χειρότερο, αφού τα POCs είναι διαθέσιμα ακόμα και για τα script-kiddies που τώρα προσπαθούν να επιτεθούν σε ασφαλείς τοποθεσίες του Web. Είναι η ιστοσελίδα σας ευάλωτη από μια τέτοιου είδους επίθεση; Μπορείτε να ελέγξετε το site σας με το τεστ Ηeartbleed.
Τα καλά νέα είναι ότι οι εταιρείες λειτουργικών συστημάτων κυκλοφόρησαν σήμερα τα patches για τα OpenSSL clients. Μέχρι στιγμής, τα πάγια λειτουργικά συστήματα Linux: CentOS, Debian, Fedora, Red Hat, openSUSE, και Ubuntu, έχουν διαθέσει ενημερωμένες εκδόσεις. Το SUSE Linux Enterprise Server (SLES) δεν επηρεάζεται από την επίθεση. Αν έχετε οποιαδήποτε αμφιβολία σχετικά με την ασφάλεια των διακομιστών σας, πραγματοποιήσετε τον έλεγχο για το bug και ενημερώστε όσο το δυνατόν συντομότερα με το κατάλληλο patch. Δεν είναι ώρα να παίζετε με την ασφάλειά σας. Η ασφάλεια των συστημάτων, των χρηστών και των πελατών σας όλα εξαρτιόνται από αυτή την ενημέρωση.