http://www.ictnews.ir/
http://ictnews.ir
آرشیوی
Openssl چيست ؟
 Openssl چيست ؟

يك مجموعه نرم‌افزار و كتابخانه از توابع رمز‌نگاري است كه توسط سيستم‌عامل‌هاي مختلف مانند گنو‌لينوكس، مايكروسافت ويندوز و مكينتاش مورد استفاده قرار گرفته و براي پياده‌سازي پروتكل‌هاي SSL Secure‌ Sockets Layer و TLS Transport Layer Securityاستفاده مي‌شود. دستور openssl كاربرد‌هاي متعددي دارد، مانند توليدcrt Certificate Signing Request‌، توليد كليد خصوصي (private key)، مقايسه كليد خصوصي و md5 hash يك گواهينامه براي مشخص شدن اعتبار آن، ديدن مشخصات يك گواهينامه، مديريت كليد‌هاي خصوصي و عمومي و رمزنگاري كليد عمومي. از پروتكل‌هاي ssl/tls براي رمز‌نگاري اطلاعات رد و بدل شده ميان كاربر و سرور در برنامه‌هاي مختلفي استفاده مي‌شود...

مانند https، webmail، vpn، instant messaging و... . اهميت اين پروتكل زماني مشخص مي‌شود كه كاربر اطلاعات بسيار حساسي را با سرور يك سايت تبادل كند، مانند اطلاعات حساب بانكي، رمز عبور ايميل، اطلاعات محرمانه شخصي و....
با استفاده از ssl/tls اين اطلاعات حساس هنگام مبادله ميان كاربر و سرور براي جلوگيري از سرقت (حملات sniff) به‌صورت كليد خصوصي مبادله مي‌شوند كه حتي در صورت دستيابي هكر به اطلاعات رد و بدل شده به‌علت رمزي بودن قادر به ديدن آنها نيست.
حمله Heartbleed
به جرات مي‌توان گفت حمله خونريزي قلبي يكي از خطرناك‌ترين حملات سايبري است كه باعث به‌سرقت رفتن بسياري از اطلاعات حساس كاربران اينترنتي شده است. اين آسيب‌پذيري خطرناك براي اولين بار در اوايل سال 2012 علني شد كه با انتشار نسخه ۱.۰.۱ آسيب‌پذيري آن مشخص شد و از آن زمان نزديك به دو سال مي‌گذرد و به‌تازگي نيز در 18 فروردين‌ماه امسال در وب‌سايت رسمي openssl رخ دادن مجدد اين آسيب‌پذيري اعلام شد. نام رسمي آن CVE-2014-0160 است كه نام غيررسمي Heartbleed نيز را براي آن انتخاب كرده‌اند، چون آسيب‌پذيري از ناحيه ماژول heartbeat در openssl رخ داده است. اين باگ فوق خطرناك در نسخه‌هاي 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 1.0.2-beta1 openssl وجود دارد كه در نسخه 1.0.1g اين آسيب‌پذيري برطرف شده است.
نحوه عملكرد آسيب‌پذيري
توسط اين آسيب‌پذيري مهلك، هكر مي‌تواند حافظه رم سرور را استخراج و در هر بار استخراج 64 كيلوبايت از اطلاعات حافظه رم سرور را مشاهده كند كه مي‌تواند شامل الگوريتم كليد‌هاي خصوصي اطلاعات رمزنگاري‌شده و رمز عبور يا هر گونه اطلاعات حساسي مربوط به كاربر باشد.
اقداماتي كه بايد انجام داد:
بررسي سايت‌هاي مورد استفاده در ليست منتشرشده در پايگاه GitHub كه سايت‌هاي معروف و پراستفاده در اينترنت در آن از لحاظ وجود آسيب‌پذيري فهرست شده‌اند و با مراجعه به آدرس tr.im/57gsv قابل دسترسي است يا بررسي آنلاين سايت مورد نظر توسط آدرس filippo.io/Heartbleed
تغيير رمز عبور در سايت‌هايي كه از openssl استفاده كرده‌اند.
اما مديران سرور‌هايي كه از openssl استفاده مي‌كنند بايد به‌سرعت نرم‌افزار خود را توسط دستور‌هاي زير به‌روز‌رساني كنند.
در سرور‌هاي مبتني بر دبيان، اوبونتو با زدن دستور sudo apt-get install --only-upgrade openssl و سپسsudo apt-get install --only-upgrade libssl1.0.0 مي‌توان به آخرين نسخه از openssl‌ كه اين ايراد در آن برطرف شده است، دسترسي پيدا كرد.
همچنين در سرور‌هاي مبتني بر RedHat با تايپ دستور yum update openssl مي‌توان openssl را به‌روزرساني كرد.


مطالب مرتبط
نظرات کاربران

ارسال نظر در مورد این مطلب:
نام شما : *
آدرس ایمیل : *
متن نظر : *
کد امنیتی :
Refresh Code

لطفا عبارت درج شده در تصویر بالا را در کادر زیر بنویسید

*
 


کليه حقوق اين سایت متعلق به ICTNEWS است.
انتشار مطالب با ذکر منبع و لینک به سایت مجاز است.
تماس با ما: 88946450  فرم تماس با ما
این پرتال قدرت گرفته از :
سیستم مدیریت پرتال و خبرگزاری دیاسافت
ارتباط با ما : 1000030200