Heartbleed Bug Araştırma Raporu

Heartbleed Bug07 Nisan 2014 itibariyle OpenSSL 1.0.1 sürümlerinde ve 1.0.2-beta sürümünde ‘Heartbleed Bug‘ isimli bir açık yayınlandı. Bu açık, CVE (Common Vulnerabilities and Exposures) standardı tarafından’CVE-2014-0160’ başlığı altında duyurulmuştur.

Heartbleed açığı Google Security’den Neel Mehta tarafından bulunmuş olup; webdeki, maillerdeki, anlık mesajlaşma ve VPN uygulamalarındaki, X.509 sertifikaları secret key’leri, kullancı adı parola çiftleri, anlık iletiler, mailler ve gizli belgeler gibi birçok verinin ifşasına neden olabilmektedir.

 
Açık temel olarak etkilenen OpenSSL sürümlerini kullanan son kullanıcı ve sunucularda OpenSSL TLS heartbeat eklentisi kullanılarak, 64KB’a kadar bellek verisi okunması şeklinde çalışmaktadır.
 
Bu açık birçok nedenden dolayı kritik önem arz etmektedir. Bu nedenler şu şekilde sıralanabilir;
    •           Bu açık kullanılarak, hiçbir iz bırakmadan, kritik olarak azledilen şifrelenmiş veriler ifşa edilebilir.

 

    •           OpenSSL dünya genelinde yaygın kullanıma sahiptir; dünya geneli aktif internet sitelerinin %66’sının faydalandığı Apache ve nginx platformları OpenSSL kullanmaktadır.
    •           14 Mart 2012’de yayımlanan OpenSSL 1.0.1 sürümünden başlayarak toplam 8 sürümde bu açık bulunmaktadır. Açıktan etkilenen sürümlerin yayınlanma tarihleri aşağıdaki gibidir;

 

o   OpenSSL 1.0.1                   14 Mart 2012 – 14:34:38
o   OpenSSL 1.0.1a                 19 Nisan 2012 – 14:20:37
o   OpenSSL 1.0.1b                 26 Nisan 2012 – 12:52:52
o   OpenSSL 1.0.1c                 10 Mayıs 2012 – 17:20:24
o   OpenSSL 1.0.1d                 5 Şubat 2013 – 13:17:07
o   OpenSSL 1.0.1e                 11 Şubat 2013 – 16:34:23
o   OpenSSL 1.0.1f                  6 Ocak 2014 – 15:39:19
o   OpenSSL 1.0.2-beta1         24 Şubat 2014 – 14:54:01
Açığın giderilebilmesi için aşağıdaki aksiyonlardan kurum için uygun olanın kullanılması önerilmektedir;
    •           1.0.1 ve devam sürümleri için 1.0.1g sürümüne yükseltilmesi

 

    •           1.0.2-beta sürümü ve sürüm yükseltmesi yapamayacak durumda olan kullanıcılar için -DOPENSSL_NO_HEARTBEATS parametresi ile tekrar derlenerek, açığa neden olan ‘heartbeat’ eklentisinin kapatılması şeklindedir.

 

OpenSSL’in konu ile ilgili duyurusu aşağıdaki gibidir:

OpenSSL Security Advisory [07 Apr 2014]TLS heartbeat read overrun (CVE-2014-0160)A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <[email protected]> and Bodo Moeller <[email protected]> for preparing the fix.Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with –DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2.

Kaan İlter