Heartbleed
A Heartbleed egy biztonsági hiba az OpenSSL nevű nyílt forráskódú kriptográfiai szoftverben, amely széles körben használt internetes szolgáltatások biztosításához. A hibás verziók lehetővé teszik mind a kliens, mind pedig a szerver sebezhetőségét.[1]
A heartbleed hibát egy bemeneti adat ellenőrzésének hiánya okozza a TLS heartbeat kiegészítésében, innen származik a hiba neve. A hiba típusa buffer-overread, azaz a kérő több adatot olvas, mint amennyi elérhető.[1]
Az OpenSSL javított kiadása 2014 április 7-én jelent meg, ugyanezen a napon jelentették be a hiba létezését. Ekkor a webszerverek 17 százaléka, mintegy félmillió weboldal volt sebezhető, amely lehetővé tette a szerver titkos kulcsok és jelszavak ellopását.
Története
[szerkesztés]A TLS heartbeat kiegészítését 2012 februárjában az RFC 6520 dokumentumban terjesztették elő szabványnak.[2] Ez lehetővé teszi, hogy egy biztonságos kapcsolatot életben tartson a két fél anélkül, hogy a biztonsági adatokat újratárgyalnák minden alkalommal.
2011-ben az RFC egyik írója, Robin Seggelmann, aki akkor Duisburg-Essen-i Egyetem Ph.D. hallgatója megírta a heartbeat kiegészítést az OpenSSL-hez.
Hatása
[szerkesztés]Példa:
- Mondj „minibrot”-ot (8 karakter).
- minibrot
Mondj „irreális”-t (150 karakter).
- Irreális. Márton kéri a „Multibrotok, és egyéb fraktálok” című könyvet. Erhard kéri a „Transzcendens egyenletek megoldása de egyszerűen” című könyvet.
Jegyzetek
[szerkesztés]- ↑ a b Cyberoam Security Advisory - Heartbleed Vulnerability in OpenSSL, 2014. április 11. [2014. november 5-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. május 19.)
- ↑ Seggelmann, R. et al.: Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension. RFC 6520. Internet Engineering Task Force (IETF), 2012. február 1. (Hozzáférés: 2014. április 8.)
