Heartbleed Bug: OpenSSL Security Flaw
security researchers ประกาศพบ bug ในไลบรารี OpenSSL version 1.0.1 – 1.0.1f และ 1.0.2beta โดยใช้ชื่อว่า Heartbleed (CVE-2014-0160)
Bug ที่เกิดขึ้นนี้ทำให้ attacker ส่ง heartbeat message ที่ไม่สมบูรณ์ไปยังเป้าหมายและเครื่องเป้าหมายจะทำการส่งข้อมูลที่เก็บอยู่ใน memory กลับไป โดยการโจมตีแต่ละครั้งจะสามารถดึงข้อมูลมาได้ 64 kilobytes แต่ถ้าหาก attacker ทำการโจมตีเรื่อยๆก็จะสามารถได้ข้อมูลที่ต้องการได้ครบถ้วน เช่น personal information ต่างๆ
ถ้าหากโชคร้าย attacker ได้ข้อมูลพวก private encryption keys จะทำให้ attacker สามารถ encrypt และ decrypt ข้อมูลต่างๆ ได้อย่างง่ายดาย ซึ่งก็หมายความว่าจะทำให้ attacker สามารถดักอ่านข้อมูลการสื่อสารระหว่าง server (ที่ถูกขโมย private encryption keys ไป) และ client ได้ตลอดเวลา แม้เราจะทำการ fix bug ไปแล้วก็ตาม ทางแก้ไขคือ ทำการ reissue certificate ใหม่ เท่านั้น
versions ของ OpenSSL ที่ได้รับผลกระทบและไม่ได้รับผลกระทบ
- OpenSSL 1.0.1 through 1.0.1f => vulnerable
- OpenSSL 1.0.1g => NOT vulnerable
- OpenSSL 1.0.0 branch => NOT vulnerable
- OpenSSL 0.9.8 branch => NOT vulnerable
Operating systems แบ่งตาม distribution ต่างๆที่ได้รับผลกระทบ
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
การแก้ไข OpenSSL security flaw
ทำการ update OpenSSL ไปเป็น version 1.0.1g หรือ update openssl ตามแต่ละ distribution ให้เป็น version ดังนี้
- 1.0.1e-2+deb7u5 บน debian,
- 1.0.1e-16.el6_5.7 บน RedHat 6 / CentOS 6
- 1.0.1-4ubuntu5.12 บน Ubuntu 12.04 LTS
- 1.0.1e-37.66 บน Amazon AMI
OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160)