07 Nisan 2014 itibariyle OpenSSL 1.0.1 sürümlerinde ve 1.0.2-beta sürümünde ‘Heartbleed Bug‘ isimli bir açık yayınlandı. Bu açık, CVE (Common Vulnerabilities and Exposures) standardı tarafından’CVE-2014-0160’ başlığı altında duyurulmuştur.
Heartbleed açığı Google Security’den Neel Mehta tarafından bulunmuş olup; webdeki, maillerdeki, anlık mesajlaşma ve VPN uygulamalarındaki, X.509 sertifikaları secret key’leri, kullancı adı parola çiftleri, anlık iletiler, mailler ve gizli belgeler gibi birçok verinin ifşasına neden olabilmektedir.
-
- Bu açık kullanılarak, hiçbir iz bırakmadan, kritik olarak azledilen şifrelenmiş veriler ifşa edilebilir.
-
- OpenSSL dünya genelinde yaygın kullanıma sahiptir; dünya geneli aktif internet sitelerinin %66’sının faydalandığı Apache ve nginx platformları OpenSSL kullanmaktadır.
- 14 Mart 2012’de yayımlanan OpenSSL 1.0.1 sürümünden başlayarak toplam 8 sürümde bu açık bulunmaktadır. Açıktan etkilenen sürümlerin yayınlanma tarihleri aşağıdaki gibidir;
-
- 1.0.1 ve devam sürümleri için 1.0.1g sürümüne yükseltilmesi
-
- 1.0.2-beta sürümü ve sürüm yükseltmesi yapamayacak durumda olan kullanıcılar için -DOPENSSL_NO_HEARTBEATS parametresi ile tekrar derlenerek, açığa neden olan ‘heartbeat’ eklentisinin kapatılması şeklindedir.
OpenSSL Security Advisory [07 Apr 2014]TLS heartbeat read overrun (CVE-2014-0160)A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <[email protected]> and Bodo Moeller <[email protected]> for preparing the fix.Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with –DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2.