زمان خواندن: 3 دقیقه
گزارشهای خبری مختلف تأیید کردهاند که بسیاری از وب سرورها هنوز در برابر باگ Heartbleed آسیبپذیر هستند، که بر سرورهای Apache دارای SSL تأثیر میگذارد. این باگ اولین بار در اوایل آوریل سال جاری گزارش شد. اوراکل اخیراً لیستی از محصولات تحت تأثیر آسیب پذیری OpenSSL Heartbleed را منتشر کرده است و به نظر می رسد هکرها برای سوء استفاده از Heartbleed آماده هستند.
دامنه این مشکل توسط یک گزارش سه ماهه برای سه ماهه دوم 2 توسط تیم تحقیقاتی خبره امنیت Solutionary (SERT) فاش شده است و به این نتیجه رسیده است که بسیاری از سرورها هنوز در برابر باگ Heartbleed آسیب پذیر هستند. این گزارش نگاهی ویژه به باگ ناخوشایند شناسایی شده در اوایل سال جاری داشت که به یک هکر اجازه می داد ارتباط بین مرورگر و سرور وب را با استفاده از OpenSSL رهگیری کند.
SERT دریافت که بهره برداری از آن بسیار آسان است و تعداد زیادی از سرورها هنوز آسیب پذیر هستند. از تاریخ 06/21/2014، 2 ماه پس از شناسایی آسیبپذیری و ارائه اطلاعات لازم برای رسیدگی به مشکل، 309,147 سرور همچنان در برابر Heartbleed آسیبپذیر هستند.
چه کسی آسیب پذیر است؟
این موضوع است فقط اگر OpenSSL 1.0.1 تا 1.0.1f و OpenSSL 1.0.2-بتا را نصب کرده اید، نگران کننده است. سایر پیاده سازی های SSL و کاربران گواهی دیجیتال، از جمله همه کاربران وب سرور IIS مایکروسافت، تحت تأثیر قرار نمی گیرند.
اگر مطمئن نیستید که تحت تاثیر قرار گرفته اید، Comodo ابزار تجزیه و تحلیل SSL خود را برای بررسی شما به روز کرده است. به سادگی آدرس خود را در صفحه زیر وارد کنید:
توجه: فقط دامنه هایی را وارد کنید که از SSL استفاده می کنند. اگر این سایت شلوغ است، می توانید استفاده کنید
اگر آسیب پذیر هستید، Comodo با شما همکاری خواهد کرد تا اطمینان حاصل شود که سیستم شما با نسخه ثابت OpenSSL به روز می شود. ما به شما کمک می کنیم تا به سرعت و به راحتی گواهینامه ای را که ممکن است در نتیجه وصله OpenSSL لازم باشد، دریافت کنید. با 1-888-256 +2608 تماس بگیرید یا ایمیل بزنید: Enterprisesolutions@comodo.com برای صحبت با یک شرکت SSL کارشناس.
آسیب پذیری چیست؟
یک آسیبپذیری در OpenSSL میتواند به مهاجم از راه دور اجازه دهد تا دادههای حساس، احتمالاً از جمله اعتبارنامه تأیید هویت کاربر و کلیدهای مخفی را از طریق مدیریت نادرست حافظه در پسوند ضربان قلب TLS افشا کند. این نقص به مهاجم راه دور اجازه میدهد تا حافظه خصوصی برنامهای را که از کتابخانه آسیبپذیر OpenSSL در تکههای 64 هزار در یک زمان استفاده میکند، بازیابی کند.
کشف Heartbleed
باگ Heartbleed توسط گروهی از مهندسان امنیتی Codenomicon و Neel Mahta از Google Security کشف شد. در 7 آوریل 2014، آنها آسیب پذیری در کتابخانه رمزنگاری محبوب OpenSSL را به جامعه اینترنتی اعلام کردند. این آسیب پذیری که به درستی به عنوان باگ Heartbleed برچسب گذاری شده است، بر نسخه های OpenSSL 1.0.1 تا 1.0.1f (شامل) تأثیر می گذارد.
درک این نکته مهم است که اشکال Heartbleed یک نقص در پروتکل های SSL یا TLS نیست. بلکه یک نقص در اجرای OpenSSL عملکرد ضربان قلب TLS/DTLS است. این نقص مربوط به گواهینامه های مورد اعتماد عمومی نیست و در عوض یک مشکل با نرم افزار سرور است.
برای ارتقای سرور خود
مدیر بسته خود را برای بسته OpenSSL به روز شده بررسی کنید و آن را نصب کنید. اگر بسته OpenSSL به روز ندارید، تماس ارائه دهنده خدمات خود را برای دریافت آخرین نسخه OpenSSL و نصب آن.
راه حل ها
فقط در صورتی از این راهحلها استفاده کنید که نمیتوانید به آخرین نسخه OpenSSL ارتقا دهید. اگر نمی توانید به آخرین نسخه OpenSSL ارتقا دهید، یکی از موارد زیر را انجام دهید:
- بازگشت به OpenSSL نسخه 1.0.0 یا قبل.
- OpenSSL را با پرچم OPENSSL_NO_HEARTBEATS دوباره کامپایل کنید.
برای کلید مجدد، صدور مجدد و لغو گواهینامه های خود
ابتدا باید گواهینامه های خود را مجدداً کلید بزنید و مجدداً صادر کنید، که این کار را با ایجاد یک جفت کلید جدید و درخواست امضای گواهی (CSR) انجام می دهید. برای جایگزینی گواهی، موارد زیر را انجام دهید:
1. از طریق وارد حساب کاربری خود شوید https://secure.comodo.com
2. بر روی آن کلیک کنید گواهینامه های SSL
3. گواهی مورد نظر برای جایگزینی/صدور مجدد را پیدا کنید و کلیک کنید جایگزین کردن
4. همه دستورالعمل های روی صفحه را دنبال کنید.
هنگامی که گواهی جدید خود را با موفقیت جایگزین کردید، باید گواهی قبلی را باطل کنید. برای انجام این کار، مانند قبل وارد حساب کاربری خود شوید، روی ' کلیک کنیدSSL گواهی'، * را پیدا کنیدقدیمی* سفارش گواهی و روی پیوند "لغو" کلیک کنید.
باز هم در تماس با ما دریغ نکنید support@comodo.com اگر در این مورد نیاز به کمک دارید
آزمایش رایگان را شروع کنید کارت امتیازی امنیتی فوری خود را به صورت رایگان دریافت کنید
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://blog.comodo.com/e-commerce/many-servers-vulnerable-heartbleed-act-now/
- : دارد
- :است
- :نه
- 1
- 2014
- 7
- a
- حساب
- کسب
- نشانی
- پس از
- معرفی
- اجازه دادن
- اجازه می دهد تا
- همچنین
- an
- تحلیل
- و
- اعلام کرد
- آپاچی
- ظاهر شدن
- کاربرد
- آوریل
- هستند
- AS
- همکاری
- At
- تصدیق
- در دسترس
- BE
- بوده
- قبل از
- میان
- بلاگ
- مرورگر
- اشکال
- مشغول
- by
- صدا
- CAN
- نمی توان
- گواهی نامه
- گواهینامه ها
- بررسی
- کلیک
- COM
- ارتباط
- انجمن
- نگرانی
- تایید شده
- تماس
- میتوانست
- ایجاد
- مجوزها و اعتبارات
- رمزنگاری
- داده ها
- دیجیتال
- گواهی دیجیتال
- do
- حوزه
- آیا
- پیش از آن
- در اوایل
- به آسانی
- ساده
- اثرات
- پست الکترونیک
- مورد تأیید
- اطمینان حاصل شود
- وارد
- سرمایه گذاری
- واقعه
- کارشناس
- بهره برداری
- قرار گرفتن در معرض
- گسترش
- پیدا کردن
- نام خانوادگی
- ثابت
- نقص
- به دنبال
- پیروی
- برای
- یافت
- رایگان
- از جانب
- قابلیت
- چرخ دنده
- دریافت کنید
- گوگل
- گروه
- هکر
- هکرها
- اداره
- آیا
- خون دل
- کمک
- زیاد
- HTTPS
- شناسایی
- if
- Iis
- پیاده سازی
- مهم
- in
- از جمله
- شامل
- اطلاعات
- نصب
- نصب شده
- فوری
- در عوض
- دستورالعمل
- اینترنت
- به
- معرفی
- موضوع
- IT
- ITS
- JPG
- کلید
- کلید
- بزرگ
- آخرین
- کتابخانه
- پسندیدن
- ارتباط دادن
- فهرست
- ورود به سیستم
- نگاه کنيد
- ساخته
- مدیر
- بسیاری
- حداکثر عرض
- ممکن است..
- حافظه
- ماه
- لازم
- نیاز
- جدید
- اخبار
- عدد
- گرفتن
- of
- قدیمی
- on
- ONE
- فقط
- openssl
- or
- وحی
- سفارش
- دیگر
- بسته
- با ما
- جفت
- پچ کردن
- پی اچ پی
- افلاطون
- هوش داده افلاطون
- PlatoData
- محبوب
- احتمالا
- خصوصی
- مشکل
- محصولات
- پروتکل
- ارائه دهنده
- عمومی
- Q2
- به سرعت
- نسبتا
- تازه
- مربوط
- منتشر شد
- دور
- جایگزین کردن
- جایگزین
- گزارش
- گزارش
- گزارش ها
- درخواست
- ضروری
- تحقیق
- نتیجه
- در حال اجرا
- حوزه
- کارت امتیازی
- پرده
- راز
- تیم امنیت لاتاری
- ارسال
- حساس
- سرور
- سرویس
- ارائه دهنده خدمات
- امضای
- به سادگی
- سایت
- نرم افزار
- سخن گفتن
- ویژه
- SSL
- هنوز
- موفقیت
- مطمئن
- تعجب آور
- سیستم های
- تیم
- که
- La
- اطلاعات
- اینها
- آنها
- این
- در این سال
- از طریق
- زمان
- به
- در زمان
- ابزار
- مورد اعتماد
- ناتوان
- بی تأثیر
- کشف
- فهمیدن
- به روز شده
- ارتقاء
- استفاده کنید
- کاربر
- کاربران
- استفاده
- با استفاده از
- نسخه
- نسخه
- بسیار
- از طريق
- آسیب پذیری
- آسیب پذیر
- بود
- we
- وب
- وب سرور
- که
- اراده
- با
- مهاجرت کاری
- خواهد بود
- سال
- شما
- شما
- زفیرنت