Merhaba

OpenSSL’de çok ciddi bir zafiyet tespit edildi; buna göre OpenSSL 1.0.1 ‘den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen bu zafiyet SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmaksızın okunabilmesine neden oluyor. TLS’in heartbeat extension’ında ki bir hatadan kaynaklanan sorun sayesinde internet üzerindeki herhangi birisi, zafiyet içeren OpenSSL sürümünü kullanan herhangi bir sistemin memory’sinden şifreli tüm bilgiyi 64 kbyte’lık bölümler halinde alabiliyor.

Açık, internet üzerinden herhangi yetki gerektirmeksizin tcp 443. porttan kurulan bağlantılar üzerinden, şifrelemede kullanılan private key’lerin, kullanıcı adı ve şifrelerin, cookie’lerin ve benzer her türlü sensitive datanın alınabilmesine olanak sağladığından dolayı, OpenSSL’in 1.0.1 – 1.0.1f arası sürümlerini kullanan herkesin bir an önce, açığın bulunmasının hemen ardından yayınlanan OpenSSL 1.0.1g sürümüne terfi etmeleri, bu işlem yapılamıyorsa da mevcut OpenSSL’in “-DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derlenerek heartbeat özelliğini devre dışı bırakmaları gerekiyor

İlgili zafiyeti gideren update paketleri, CentOS, Debian ve FreeBSD paket depolarına eklendi. Bu nedenle ilgili sistemleri kullanıyorsanız acilen sistem update’i yapmanızı tavsiye ederim. Ayrıca, sistem updat’ine kadar geçen süreç içerisinde SSL anahtarlarınızın alınıp alınmadığını bilemeyeceğiniz için mevcut anahtarların da revoke edilerek yenilerinin üretilmesi yerinde olacaktır.

Sunucunuzun ya da sisteminizin zafiyetten etkilenip etkilenmediğini kontrole etmek için aşağıdaki adresi kullanabilirsiniz:

http://filippo.io/Heartbleed/

Ayrıca, açıklıkla ilgili tüm detaylar için aşağıdaki linklerden yararlanabilirsiniz.

http://heartbleed.com/

https://www.openssl.org/news/secadv_20140407.txt

           Yogun olarak linux sistemleri etkileyen bu zaafiyetten Microsoft sunucularınızında etkilenme riskine karşı sertifika üreticilerinin geliştirmiş oldugu tolları kullanarak kontrollerinizi yapabilirsiniz.

           Örnek: Digicert

           https://www.digicert.com/heartbleed-bug-vulnerability.htm


Yazar: Osman BAGISLANAN

Http://www.mslinuxtr.com/yazarlar

(586)

the author

Netaş Aş. de Sistem Yöneticisi olarak çalışmaktayım. 2001 den bu yana BT sektöründeyim. Bu zamanın büyük bir kısmında Sistem Entegratörlüğü yapan Bilişim firmalarında proje ve sistem kurulum departmanlarında çalıştım. Birçok firmada Microsoft ürünleriyle ilgili sistem kurulum projelerinde bulundum. 2012 den bu yana kendi bloğum olan MSLİNUXTR de deneyimlerimi sizinle paylaşıyorum. Ayrıca 2013 başlarından bu yana da MSHOWTO ailesinin bir üyesiyim.

No comments yet.

Bir Cevap Yazın