Nem csak szervereket érint a Heartbleed
A sérülékeny OpenSSL nem csak webes szolgáltatásokban található meg, hanem egy sor hálózati eszközben és az Androidban is. A Cisco már közzétette és folyamatosan frissíti sérülékeny termékei listáját. Az Androidnak a Google szerint csak a 4.1.1 verziója érintett.
A hét elején derült fény az OpenSSL könyvtár biztonsági hibájára, amelyen keresztül támadók autentikáció nélkül hozzáférnek a sérülékeny rendszerek memóriájához és így azokról érzékeny információkat tudnak eltulajdonítani, például a titkosításhoz használt kulcsokat is, amelyek birtokában a teljes titkosított forgalmat visszafejthetik.
Egy sor Cisco-termék érintett
Az OpenSSL majdnem két éve sebezhető ezen a hibán keresztül és senki sem tudja, hogy valaha valaki kihasználta-e a sérülékenységet érzékeny adatok eltulajdonításához, mivel a hibát kihasználó támadásoknak a szerverlogokban nincs nyoma. A weboldalak és webes szolgáltatások üzemeltetői rohamtempóban cserélték le a sebezhető OpenSSL implementációkat a kijavított változatra, így a felhasználóknak csak a jelszavukat kell megváltoztatnia ahhoz, hogy minimalizálják a kockázatokat. (Itt egy lista a Heartbleed bug által érintett webes szolgáltatásokról.)
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Azonban nem csak szerverek használják az OpenSSL-t. A hálózati eszközök legnagyobb gyártója, a Cisco egy terjedelmes listát hozott nyilvánosságra azokról az eszközeiről, amelyek a sebezhető OpenSSL-verziókat használják, ezeket a berendezéseket és szoftvereket ugyanúgy érinti a "Heartbleed" hiba mint a weboldalakat és webes szolgáltatásokat. A javítás azonban itt sokkal bonyolultabb, a felhasználó nem cserélheti le szimplán az OpenSSL-t egy javított verzióra, meg kell várnia, mire az eszközgyártó kijavítja a hibát és kiadja az új firmware-t.
A Cisco oldalán található lista szerint a vállalatnak 16 terméke biztosan sérülékeny az OpenSSL-en keresztül, további 65-öt pedig jelenleg vizsgálnak a cég szakemberei, így a sebezhető termékek száma a közeljövőben még gyarapodhat is. A listában szerepelnek azok az eszközök is, amelyek bizonyítottan nem sebezhetők. A Juniper is közzétett a weboldalán egy OpenSSL-ről szóló riasztást, az azonban csak regisztrált felhasználók számára érhető el. Corey Olfert, a vállalat szóvivője a Wall Street Journalnak elmondta, hosszú folyamat kideríteni, milyen eszközök sebezhetők és nem is tudja megmondani egyelőre, mikorra lesznek kijavítva. A Juniper néhány VPN termékét már kedden frissítette, hogy a továbbiakhoz mikor érkezik javítás, egyelőre nem tudni.
Az Android is OpenSSL-t használ
A legelterjedtebb mobil operációs rendszer, az Android is az OpenSSL könyvtárat használja és a Google rendszerének bizonyos változatai ezáltal szintén sebezhetők, az Android 4.1.1 biztosan az, ezt a Google is megerősítette. Ha valakinek kétségei vannak afelől, sérülékeny-e a telefonján futó rendszer, a Play Store-ból telepíthet egy programot, amely ellenőrzi az Androidban található OpenSSL-verziót, valamint hogy a sérülékenységet tartalmazó komponens be van-e kapcsolva. Ez a szoftver egyébként az Android 4.2.2-t is sebezhetőnek találja egy HTC One X-en.
A hálózati eszközöknél talán még nagyobb gondban lehetnek a mobiltelefon-használók, ugyanis ezek esetében egyáltalán nem biztos, hogy valaha érkezik javítás a problémára. Nincs garancia arra, hogy minden telefongyártó implementálja a frissítést, mint ahogy arra sem, hogy a friss szoftververziók eljutnak a készülékek tulajdonosaihoz a mobilszolgáltatókon keresztül.