جدیدترین اخبار درباره اشکال امنیتی OpenSSL

دو سال قبل خطای برنامه نویسی یک برنامه نویس آلمانی که بر روی نرم افزار “متن باز” OpenSSL کار می کرد باعث شد که طی دو سال گذشته، سرورهای تحت وب کلید خصوصی (Private Key) را که برای ایجاد ارتباط امن SSL بکار می رود، افشا کنند و اطلاعات رد و بدل شده بین کاربر و سرور قابل شنود باشد. این اشکال امنیتی یکی از بزرگترین خطاهایی است که تاکنون اینترنت را تحت تاثیر قرار داده است.

– شرکت Akamai که بیش از 30 درصد از ترافیک اینترنت در دنیا از سرورها و شبکه این شرکت عبور می کنند، اعلام کرد که در به روزرسانی نرم افزار OpenSSL دچار اشتباه شده و نسخه اختصاصی و به روز شده این نرم افزار به درستی عمل نمی کند و امنیت مورد نظر را برای کاربرانش فراهم نمی نماید. اکنون Akamai اقدام به صدور مجدد گواهینامه های SSL و کلیدهای جدید برای ایجاد ارتباط امن برای بازدیدکنندگان از سایت هایی که میزبانی آنها را برعهده دارد، نموده است.

– سازمان امنیت ملی (NSA) آمریکا که در ابتدای انتشار عمومی خبر این اشکال امنیتی متهم به اطلاع و سوء استفاده از این موضوع شده بود، اعلام کرد که اخبار منتشر شده و اتهامات مطرح شده صحت ندارد و این سازمان طی دو سال گذشته از وجود چنین اشکال برنامه نویسی بی اطلاع بوده و از آن برای عملیات شنود استفاده نکرده است. رسانه خبری Bloomberg به نقل از دو منبع ناشناس، گزارشی را مبنی بر سوءاستفاده سازمان NSA از اشکال امنیتی OpenSSL در عملیات جاسوسی و شنود این سازمان منتشر کرده بود.

– سازمان مالیاتی کشور کانادا اولین قربانی اشکال امنیتی OpenSSL است که بطور رسمی و علنی سرقت اطلاعات از سایت خود را اعلام کرده است. سازمان CRA به همین دلیل مجبور شد که سایت خود را از دسترس خارج کند ولی کمی دیر شده بود. نفوذگران با سوءاستفاده از اشکال امنیتی “خونریزی قلبی” یا Heart-bleed موفق شدند طی شش ساعت دسترسی غیرمجاز به سایت این سازمان، اطلاعات شخصی 900 مودی مالیاتی را سرقت کنند. Heart-bleed نامی است که به اشکال امنیتی OpenSSL داده شده است. دلیل این نامگذاری، وجود این اشکال در بخشی از نرم افزار است که “ضربان قلب” یا Heart-beat نامیده می شود.

–  سازندگان بزرگ سرور در جهان به تکاپو افتاده اند تا هرچه سریعتر اشکال امنیتی OpenSSL را در محصولات خود برطرف نمایند. شرکت های IBM ،Dell و HP هر یک با راه اندازی صفحات اختصاصی بر روی سایت های خود، محصولات آسیب پذیر را فهرست کرده و به تدریج اصلاحیه هایی برای ترمیم آنها منتشر می کنند. تاکنون اصلاحیه هایی برای سرورهای HP Blade Systems ،IBM AIX و سرورها و تجهیزات شبکه Dell ارائه شده است.

– شرکت VMware قول داده است که تا پایان هفته جاری تمام محصولات آسیب پذیر خود را در مقابل ضعف امنیتی OpenSSL ترمیم و اصلاح نماید. این شرکت محصولاتی را که از نسخه 1.0.1 نرم افزار OpenSSL استفاده می کنند و آسیب پذیر هستند را شناسایی کرده است. از جمله این محصولات آسیب پذیر می توان به ESXi 5.5 ،vCentre Server 5.5 ،VMware Fusion 6.0.x ،vCNS 5.5.1 ،vCAC 6.x و OVF Tool 3.5.0 اشاره کرد.