بسیاری از نرم افزارهای کاربردی Android که تصور می شد دارای ضعف امنیتی “خونریزی قلبی” یا Heart-bleed هستند، به دلیل ایراد برنامه نویسی در نحوه اعمال توابع نرم افزار OpenSSL در محصولات خود، از خطر و عواقب این ضعف امنیتی در امان ماندند.
یک بدافزار جدید که هنوز منبع و منشاء آن بطور کامل مشخص نشده است، دستگاه های iPhone و iPad قفل شکسته (jail-brake) را آلوده کرده و مجوزهای دسترسی به حساب کاربری Apple را از ترافیک رمزگذاری شده SSL سرقت می کند.
متاسفانه اکنون باید نرم افزار OpenVPN را نیز به فهرست محصولات و سرویس های آسیب پذیر در برابر ضعف امنیتی “خونریزی قلبی” یا Heart-bleed اضافه کرد. در یک نمونه آزمایشگاهی، کارشناسان توانسته اند روشی را بکار ببرند که آنان را قادر می سازد تا با سوء استفاده از ضعف امنیتی “خونریزی قلبی”، کلیدهای خصوصی (Private Key) را از ترافیکی که از نرم افزار OpenVPN عبور می کنند، سرقت نمایند.
معاون فناوری اطلاعات و ارتباطات سازمان پدافند غیرعامل از ارسال نامه ای به دستگاه های متولی زیرساخت های حیاتی و حساس درباره هشدار خطرات اینترنتی خبر داد و گفت: دستگاه های متولی این زیرساخت ها باید تمهیدات پدافندی و سایبری را رعایت کنند و شبکه های حساس خود را از اینترنت جدا کنند.
دو سال قبل خطای برنامه نویسی یک برنامه نویس آلمانی که بر روی نرم افزار “متن باز” OpenSSL کار می کرد باعث شد که طی دو سال گذشته، سرورهای تحت وب کلید خصوصی (Private Key) را که برای ایجاد ارتباط امن SSL بکار می رود، افشا کنند و اطلاعات رد و بدل شده بین کاربر و سرور قابل شنود باشد. این اشکال امنیتی یکی از بزرگترین خطاهایی است که تاکنون اینترنت را تحت تاثیر قرار داده است.
به دنبال شناسایی یک اشکال امنیتی در نرم افزار OpenSSL و با توجه به اینکه CentOS یکی از معروف ترین و پرکاربردترین توزیع های لینوکس در بین کاربران می باشد، برآن شدیم در این مقاله نحوه به روز رسانی و نصب اصلاحیه OpenSSL در نسخه CentOS Server 6.5 را توضیح دهیم.
اخیراً یک نقطه ضعف حیاتی (Critical) در نرم افزار “متن باز” OpenSSL که برای رمزنگاری ترافیک HTTP استفاده می شود، شناسایی شده است. این ضعف امنیتی باعث می شود اطلاعات حساس مانند اطلاعات مالی، بانکی، رمز های عبور و … از حافظه (RAM) سرویس دهنده های وب قابل سرقت باشند. شرکت Sophos در کوتاه ترین زمان ممکن اصلاحیه و نگارش به روز شده ای برای رفع این آسیب پذیری در محصولات UTM خود ارائه کرده است.
به باور متخصصان رمزنگاری با استفاده از پودمان SSL، یکی از مؤثرترین راه های حفاظت از داده های رد و بدل شده بر روی اینترنت محسوب می شود. به همین خاطر متخصصان امنیت و مدافعان حریم خصوصی همواره به مدیران سایت ها، بخصوص سرویس دهندگان ایمیل و شبکه های اجتماعی، توصیه می کنند پودمان HTTPS را بصورت پیش فرض بر روی صفحات خود فعال کنند. اما در مقاله ای که بتازگی توسط چند محقق دانشگاه Berkeley آمریکا ارائه شده است، حملات جدیدی معرفی شده اند که در آنها ترافیک های رمز شده با دقت بالایی تجزیه و تحلیل می گردد.
تاکنون در مواقع خاص که پروتکل SSL بسته میشد، همه سایتهایی که از این پروتکل استفاده میکنند از جمله بانکها، مسدود میشدند؛ اما اکنون به لحاظ فنی امکانی فراهم شده که سایتهای مجاز استفاده کننده از این پروتکل باز خواهند بود.
به دنبال انتشار هشدار امنیتی شرکت مایکروسافت در هفته گذشته (19 آذر 92) درباره صدور تعدادی گواهینامه دیجیتالی SSL معتبر ولی غیرمجاز توسط یکی از مراکز صدور گواهینامه در کشور فرانسه، اکنون مایکروسافت با به روزرسانی هشدار خود، کاربران سیستم های عامل قدیمی Win XP و Win Server 2003 را هم در برابر این گواهینامه های غیرمجاز تحت پوشش قرار داده است.
بسیاری از نرم افزارهای کاربردی Android که تصور می شد دارای ضعف امنیتی “خونریزی قلبی” یا Heart-bleed هستند، به دلیل ایراد برنامه نویسی در نحوه اعمال توابع نرم افزار OpenSSL در محصولات خود، از خطر و عواقب این ضعف امنیتی در امان ماندند.
یک بدافزار جدید که هنوز منبع و منشاء آن بطور کامل مشخص نشده است، دستگاه های iPhone و iPad قفل شکسته (jail-brake) را آلوده کرده و مجوزهای دسترسی به حساب کاربری Apple را از ترافیک رمزگذاری شده SSL سرقت می کند.
متاسفانه اکنون باید نرم افزار OpenVPN را نیز به فهرست محصولات و سرویس های آسیب پذیر در برابر ضعف امنیتی “خونریزی قلبی” یا Heart-bleed اضافه کرد. در یک نمونه آزمایشگاهی، کارشناسان توانسته اند روشی را بکار ببرند که آنان را قادر می سازد تا با سوء استفاده از ضعف امنیتی “خونریزی قلبی”، کلیدهای خصوصی (Private Key) را از ترافیکی که از نرم افزار OpenVPN عبور می کنند، سرقت نمایند.
معاون فناوری اطلاعات و ارتباطات سازمان پدافند غیرعامل از ارسال نامه ای به دستگاه های متولی زیرساخت های حیاتی و حساس درباره هشدار خطرات اینترنتی خبر داد و گفت: دستگاه های متولی این زیرساخت ها باید تمهیدات پدافندی و سایبری را رعایت کنند و شبکه های حساس خود را از اینترنت جدا کنند.
دو سال قبل خطای برنامه نویسی یک برنامه نویس آلمانی که بر روی نرم افزار “متن باز” OpenSSL کار می کرد باعث شد که طی دو سال گذشته، سرورهای تحت وب کلید خصوصی (Private Key) را که برای ایجاد ارتباط امن SSL بکار می رود، افشا کنند و اطلاعات رد و بدل شده بین کاربر و سرور قابل شنود باشد. این اشکال امنیتی یکی از بزرگترین خطاهایی است که تاکنون اینترنت را تحت تاثیر قرار داده است.
به دنبال شناسایی یک اشکال امنیتی در نرم افزار OpenSSL و با توجه به اینکه CentOS یکی از معروف ترین و پرکاربردترین توزیع های لینوکس در بین کاربران می باشد، برآن شدیم در این مقاله نحوه به روز رسانی و نصب اصلاحیه OpenSSL در نسخه CentOS Server 6.5 را توضیح دهیم.
اخیراً یک نقطه ضعف حیاتی (Critical) در نرم افزار “متن باز” OpenSSL که برای رمزنگاری ترافیک HTTP استفاده می شود، شناسایی شده است. این ضعف امنیتی باعث می شود اطلاعات حساس مانند اطلاعات مالی، بانکی، رمز های عبور و … از حافظه (RAM) سرویس دهنده های وب قابل سرقت باشند. شرکت Sophos در کوتاه ترین زمان ممکن اصلاحیه و نگارش به روز شده ای برای رفع این آسیب پذیری در محصولات UTM خود ارائه کرده است.
به باور متخصصان رمزنگاری با استفاده از پودمان SSL، یکی از مؤثرترین راه های حفاظت از داده های رد و بدل شده بر روی اینترنت محسوب می شود. به همین خاطر متخصصان امنیت و مدافعان حریم خصوصی همواره به مدیران سایت ها، بخصوص سرویس دهندگان ایمیل و شبکه های اجتماعی، توصیه می کنند پودمان HTTPS را بصورت پیش فرض بر روی صفحات خود فعال کنند. اما در مقاله ای که بتازگی توسط چند محقق دانشگاه Berkeley آمریکا ارائه شده است، حملات جدیدی معرفی شده اند که در آنها ترافیک های رمز شده با دقت بالایی تجزیه و تحلیل می گردد.
تاکنون در مواقع خاص که پروتکل SSL بسته میشد، همه سایتهایی که از این پروتکل استفاده میکنند از جمله بانکها، مسدود میشدند؛ اما اکنون به لحاظ فنی امکانی فراهم شده که سایتهای مجاز استفاده کننده از این پروتکل باز خواهند بود.
به دنبال انتشار هشدار امنیتی شرکت مایکروسافت در هفته گذشته (19 آذر 92) درباره صدور تعدادی گواهینامه دیجیتالی SSL معتبر ولی غیرمجاز توسط یکی از مراکز صدور گواهینامه در کشور فرانسه، اکنون مایکروسافت با به روزرسانی هشدار خود، کاربران سیستم های عامل قدیمی Win XP و Win Server 2003 را هم در برابر این گواهینامه های غیرمجاز تحت پوشش قرار داده است.
عضویت در خبرنامه
"*"فیلدهای ضروری را نشان می دهد
بازنشر مطالب صرفا با ذکر نام “شرکت مهندسی شبکه گستر” مجاز است. کلیه حقوق این سایت برای شرکت مهندسی شبکه گستر محفوظ می باشد.
