استمتع بالملايين من أحدث تطبيقات Android والألعاب والموسيقى والأفلام والتلفزيون والكتب والمجلات والمزيد. في أي وقت ، في أي مكان ، عبر أجهزتك.
تم اكتشاف عيب خطير للغاية للتو في OpenSSL-مكتبة تشفير مفتوحة ومصدر شهيرة للغاية ، والتي تحرضت بالفعل على ذعر ثانوي (في الوقت الحالي) بين خبراء الأمن. وفقًا لنشرة الأمان التي تم إصدارها حديثًا من قبل مشروع OpenSSL ، يمكن استخدام حدود مفقودة في معالجة امتداد نبضات TLS للكشف عن ذاكرة ما يصل إلى 64 كيلو بايت لعميل أو خادم متصل.
في الممارسة العملية ، يسمح هذا بسرقة المعلومات المحمية (في ظل الظروف العادية) بواسطة تشفير SSL/TLS المستخدم لتأمين الإنترنت.
توفر بروتوكولات SSL/TLS أمان الاتصال والخصوصية عبر الإنترنت لتطبيقات مثل الويب والبريد الإلكتروني والرسائل الفورية (IM) وبعض الشبكات الخاصة الافتراضية (VPNS). يمكن للمهاجمين سرقة المفاتيح السرية وأسماء المستخدمين وكلمات المرور والرسائل الفورية ورسائل البريد الإلكتروني والمستندات والاتصالات المهمة للأعمال - كل هذا دون ترك أثر.
هذا يجعل الخلل (الذي تلقى بالفعل اسم "علة قلبية") حرجًا للغاية ، لذلك ينبغي أن تؤخذ التدابير المضادة على الفور.
لا توجد كلمة (حتى الآن) حول مدى استغلال العيب حتى الآن. ومع ذلك ، تم إصدار Openssl 1.0.1 الضعيف في مارس 2012. من المحتمل أن يكون قد تعلم عن عيب الأمن المعني هو التنصت على أي اتصالات TSL/SSL المفعمة بالحيوية منذ ذلك الحين. هذا يجعل المشكلة عالمية محتملة: يتم استخدام OpenSSL بواسطة برنامج الخادم الشهير جدًا مثل Apache و Nginx. تتجاوز حصتها في السوق مجتمعة 66 ٪ ، وفقًا لمسح خادم الويب الخاص بـ NetCraft في أبريل 2014 ، ويستخدمها الشركات من جميع الأحجام.
اعتبارًا من اليوم ، يتأثر عدد من أنظمة التشغيل التي تشبه NIX*أيضًا ، حيث يتم تعبئتها مع OpenSSL:
Debian Wheezy (مستقر) ، Openssl 1.0.1e-2+Deb7u4)
Ubuntu 12.04.4 LTS ، Openssl 1.0.1-4ubuntu5.11)
Centos 6.5 ، Openssl 1.0.1e-15)
Fedora 18 ، Openssl 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1C) и 5.4 (OpenSSL 1.0.1C)
Freebsd 8.4 (Openssl 1.0.1e) и 9.1 (Openssl 1.0.1c)
Netbsd 5.0.2 (Openssl 1.0.1e)
Opensuse 12.2 (Openssl 1.0.1c)
حزم مع إصدارات OpenSSL القديمة-Debian Squeeze (OldStable) ، OpenSSL 0.9.8o-4squeze14 ، Suse Linux Enterprise Server-خالية من هذا الخلل.
من بين الأطراف المتأثرة هي بائعي وتوزيع نظام التشغيل ، بائعي الأجهزة ، إلى جانب بائعي البرمجيات المستقلين. يتم تشجيعهم بشدة على تبني الإصلاح - OpenSSL 1.0.1g - في أسرع وقت ممكن وإخطار مستخدميها بتسربات كلمة المرور المحتملة. يجب إنشاء مفاتيح وشهادات سرية جديدة أيضًا.
يتعين على مقدمي الخدمات والمستخدمين تثبيت الإصلاح حيث يصبح متاحًا لأنظمة التشغيل والأجهزة الشبكية والبرامج التي يستخدمونها.
أداة عبر الإنترنت ، والتي تسمح باختبار أي خادم عن طريق اسم المضيف الخاص به لـ CVE-2014-0160 خطأ في مكانه بالفعل ، ويوصى به التحقق من ذلك.
مرة أخرى ، فإن المهاجم الذي قد يستغل أن الضعف لن يترك أي آثار على الإطلاق في الأنظمة التي تم الهجوم ، لذلك لا توجد طريقة لمعرفة ما إذا كان أي شخص قد تعرض للخطر بالفعل. كل الأعمال التي تستخدم OpenSSL 1.0.1 إلى 1.0.1F في خطر ، وبالتالي فإن الإجراء المعقول الوحيد الآن هو توصيل هذه المغسلة الأمنية في أقرب وقت ممكن.
توسيع
تاريخ الإصدار
الحجم
الفئة
مكتب الأعمالاسم الحزمة
