Heartbleed - Википедия - Heartbleed
Логотип, представляющий Heartbleed. Охранное предприятие Коденомикон дал Heartbleed название и логотип, что способствовало повышению осведомленности общественности о проблеме.[1][2] | |
Идентификатор (ы) CVE | CVE-2014-0160 |
---|---|
Дата открытия | 1 апреля 2014 г. |
Дата исправления | 7 апреля 2014 г. |
Первооткрыватель | Нил Мехта |
Затронутое программное обеспечение | OpenSSL (1.0.1) |
Интернет сайт | сердце |
Heartbleed это ошибка безопасности в OpenSSL криптография библиотека, которая является широко используемой реализацией Безопасность транспортного уровня (TLS) протокол. Он был введен в программное обеспечение в 2012 году и публично раскрыт в апреле 2014 года. Heartbleed может быть использован независимо от того, работает ли уязвимый экземпляр OpenSSL в качестве TLS-сервера или клиента. Это происходит из-за неправильной проверки ввода (из-за отсутствия проверка границ ) в реализации TLS сердцебиение расширение.[3] Таким образом, название ошибки происходит от сердцебиение.[4] Уязвимость классифицируется как переполнение буфера,[5] ситуация, когда можно прочитать больше данных, чем должно быть разрешено.[6]
Heartbleed зарегистрирован в Распространенные уязвимости и подверженности база данных как CVE -2014-0160.[5] Федеральный Канадский центр реагирования на киберинциденты выпустил бюллетень безопасности, информирующий системных администраторов об ошибке.[7] Фиксированная версия OpenSSL была выпущена 7 апреля 2014 года, в тот же день, когда Heartbleed было публично раскрыто.[8]
По состоянию на 20 мая 2014 г.[Обновить]1,5% из 800 000 самых популярных веб-сайтов с поддержкой TLS все еще были уязвимы для Heartbleed.[9] По состоянию на 21 июня 2014 г.[Обновить]309 197 публичных веб-серверов остались уязвимыми.[10] По состоянию на 23 января 2017 г.[Обновить], согласно отчету[11] из Shodan, почти 180 000 подключенных к Интернету устройств все еще были уязвимы.[12][13] По состоянию на 6 июля 2017 г.[Обновить], согласно поиску на shodan.io по запросу "vuln: cve-2014-0160", их число упало до 144 000.[14] По состоянию на 11 июля 2019 г.[Обновить], Сообщает Shodan[15] что 91 063 устройства оказались уязвимыми. Первыми оказались США с 21 258 (23%), в первой 10 странах - 56 537 (62%), а в остальных странах - 34 526 (38%). В отчете также устройства разбиты по 10 другим категориям, таким как организация (в первую тройку входят компании-производители беспроводной связи), продукты (Apache httpd, nginx) или услуги (https, 81%).
Реализации TLS, отличные от OpenSSL, такие как GnuTLS, Mozilla с Услуги сетевой безопасности, а Реализация TLS на платформе Windows, не были затронуты, поскольку дефект существовал в реализации TLS OpenSSL, а не в самом протоколе.[16]
История
Расширение Heartbeat для Безопасность транспортного уровня (TLS) и Безопасность на транспортном уровне дейтаграмм (DTLS) протоколы были предложены в качестве стандарта в феврале 2012 г. RFC 6520.[17] Он позволяет тестировать и поддерживать безопасные каналы связи без необходимости каждый раз заново согласовывать соединение. В 2011 году один из авторов RFC, Робин Сеггельманн, тогда доктор философии. студент в Fachhochschule Münster, реализовал расширение Heartbeat для OpenSSL. Следуя просьбе Сеггельмана поместить результат своей работы в OpenSSL,[18][19][20] его изменение было рассмотрено Стивеном Н. Хенсоном, одним из четырех основных разработчиков OpenSSL. Хенсон не заметил ошибки в реализации Сеггельмана и 31 декабря 2011 года представил ошибочный код в репозитории исходного кода OpenSSL. Дефект распространился с выпуском OpenSSL версии 1.0.1 14 марта 2012 года. Поддержка Heartbeat была включена по умолчанию, что привело к уязвимые версии.[21][22][23]
Открытие
По словам Марка Дж. Кокса из OpenSSL, Нил Мехта из группы безопасности Google в частном порядке сообщил о Heartbleed команде OpenSSL 1 апреля 2014 года в 11:09 UTC.[24]
Ошибка была названа инженером Synopsys Software Integrity Group (ранее Коденомикон ), финская компания по кибербезопасности, которая также создала логотип кровоточащего сердца и запустила домен сердце
На момент раскрытия информации около 17% (около полумиллиона) защищенных веб-серверов Интернета были сертифицированы доверенные органы считались уязвимыми для атаки, что сделало возможным кражу серверов приватные ключи а также сеансовые файлы cookie и пароли пользователей.[29][30][31][32][33] В Фонд электронных рубежей,[34] Ars Technica,[35] и Брюс Шнайер[36] все считали ошибку Heartbleed "катастрофической". Forbes Обозреватель по кибербезопасности Джозеф Стейнберг писал:
Кто-то может возразить, что Heartbleed - наихудшая обнаруженная уязвимость (по крайней мере, с точки зрения ее потенциального воздействия) с тех пор, как коммерческий трафик начал течь через Интернет.[37]
Представитель британского кабинета министров рекомендовал:
Людям следует посоветоваться по поводу смены паролей на сайтах, которые они используют. Большинство веб-сайтов исправили ошибку и лучше всего могут посоветовать, какие действия нужно предпринять, если таковые имеются.[38]
В день раскрытия информации Тор Консультации по проекту:
Если вам нужна сильная анонимность или конфиденциальность в Интернете, вы можете полностью отказаться от Интернета в течение следующих нескольких дней, пока все уляжется.[39]
Sydney Morning Herald опубликовал график открытия 15 апреля 2014 года, из которого видно, что некоторым организациям удалось исправить ошибку до ее публичного раскрытия. В некоторых случаях непонятно, как они узнали.[40]
Исправление и развертывание
Бодо Мёллер и Адам Лэнгли из Google подготовил исправление для Heartbleed. Полученный патч был добавлен в Красная шляпа в системе отслеживания проблем 21 марта 2014 г.[41] Стивен Н. Хенсон применил исправление к системе контроля версий OpenSSL 7 апреля.[42] В тот же день была выпущена первая исправленная версия 1.0.1g. По состоянию на 21 июня 2014 г.[Обновить]309 197 публичных веб-серверов остались уязвимыми.[10] По состоянию на 23 января 2017 г.[Обновить], согласно отчету[11] из Shodan почти 180 000 подключенных к Интернету устройств все еще были уязвимы.[12][13] По состоянию на 6 июля 2017 г. их число снизилось до 144 000.[Обновить], согласно поиску на shodan.io по запросу "vuln: cve-2014-0160".[14]
Продление и отзыв сертификата
В соответствии с Netcraft, около 30 000 из 500 000+ сертификатов X.509, которые могли быть скомпрометированы из-за Heartbleed, были перевыпущены к 11 апреля 2014 г., хотя было отозвано меньше.[43]
К 9 мая 2014 года только 43% затронутых веб-сайтов перевыпустили свои сертификаты безопасности. Кроме того, в 7% повторно выпущенных сертификатов безопасности использовались потенциально скомпрометированные ключи. Netcraft заявил:
При повторном использовании одного и того же закрытого ключа сайт, на котором возникла ошибка Heartbleed, по-прежнему сталкивается с теми же рисками, что и сайты, которые еще не заменили свои SSL сертификаты.[44]
В eWeek говорится: «[Heartbleed], вероятно, останется риском в течение месяцев, если не лет, в будущем».[45]
Эксплуатации
В Канадское налоговое агентство сообщил о краже Номера социального страхования принадлежащих 900 налогоплательщикам, и сообщили, что к ним обратились с помощью эксплойта ошибки в течение 6-часового периода 8 апреля 2014 года.[46] После обнаружения атаки агентство закрыло свой веб-сайт и продлило срок подачи налоговых деклараций с 30 апреля до 5 мая.[47] Агентство заявило, что бесплатно предоставит услуги по защите кредита всем пострадавшим. 16 апреля RCMP объявили, что они обвинили студента-информатика в краже с несанкционированное использование компьютера и вред по отношению к данным.[48][49]
Сайт для родителей в Великобритании Mumsnet был похищен несколько учетных записей пользователей, а его генеральный директор выдал себя за другое лицо.[50] Позже сайт опубликовал объяснение инцидента, в котором говорилось, что он произошел из-за Heartbleed, и технический персонал быстро исправил его.[51]
Исследователи антивирусного ПО также использовали Heartbleed в своих интересах для доступа к секретным форумам, используемым киберпреступниками.[52] Исследования также проводились путем преднамеренной установки уязвимых машин. Например, 12 апреля 2014 г. как минимум два независимых исследователя смогли украсть приватные ключи с экспериментального сервера, специально настроенного для этой цели CloudFlare.[53][54] Также 15 апреля 2014 г. Дж. Алекс Халдерман, профессор университет Мичигана, сообщил, что его горшок меда server, преднамеренно уязвимый сервер, предназначенный для привлечения атак с целью их изучения, подвергся многочисленным атакам из Китая. Халдерман пришел к выводу, что, поскольку это был довольно малоизвестный сервер, эти атаки, вероятно, были массовыми атаками, затронувшими большие области Интернета.[55]
В августе 2014 года стало известно, что уязвимость Heartbleed позволяет хакерам украсть электронные ключи Системы общественного здравоохранения, вторая по величине коммерческая сеть больниц в США, ставящая под угрозу конфиденциальность 4,5 миллионов историй болезни. Нарушение произошло через неделю после того, как Heartbleed впервые было обнародовано.[56]
Возможные предварительные знания и эксплуатация
Многие крупные веб-сайты исправили ошибку или отключили расширение Heartbeat Extension в течение нескольких дней после его объявления.[57] но неясно, знали ли об этом потенциальные злоумышленники раньше и в какой степени оно было использовано.[нужна цитата ]
На основании изучения журналов аудита исследователями было сообщено, что некоторые злоумышленники могли использовать уязвимость в течение как минимум пяти месяцев до обнаружения и объявления.[58][59] Errata Security указала, что широко используемая невредоносная программа под названием Masscan, представленный за шесть месяцев до раскрытия информации Heartbleed, внезапно прерывает соединение в процессе установления связи таким же образом, как и Heartbleed, создавая те же сообщения журнала сервера, добавляя: «Две новые вещи, производящие одни и те же сообщения об ошибках, могут показаться, что они взаимосвязаны, но конечно, нет.[60]"
В соответствии с Новости Bloomberg, два неназванных инсайдерских источника сообщили ему, что Соединенные Штаты Национальное Агенство Безопасности был осведомлен об этой уязвимости вскоре после ее появления, но… - «вместо того, чтобы сообщить о ней» - «хранил ее в секрете среди других незарегистрированных» нулевой день уязвимостей, чтобы использовать их в собственных целях АНБ.[61][62][63] АНБ опровергло это утверждение,[64] как и Ричард А. Кларк, член Национальная аналитическая группа по разведке и коммуникационным технологиям который рассмотрел политику США в области электронного наблюдения; 11 апреля 2014 года он сообщил агентству Рейтер, что АНБ не знало о Heartbleed.[65] Обвинение побудило американское правительство впервые сделать публичное заявление о своей политике уязвимостей нулевого дня, приняв рекомендацию отчета группы проверки за 2013 год, в которой утверждалось, что «почти во всех случаях для широко используемого кода это в национальных интересах - устранить уязвимости программного обеспечения, а не использовать их для сбора разведданных США », и заявив, что решение об отказе должно быть принято АНБ в Белый дом.[66]
Поведение
В RFC 6520 Расширение Heartbeat Extension проверяет защищенные каналы связи TLS / DTLS, позволяя компьютеру на одном конце соединения отправлять Запрос Heartbeat сообщение, состоящее из полезной нагрузки, обычно текстовой строки, а также длины полезной нагрузки в виде 16 бит целое число. Затем принимающий компьютер должен отправить точно такую же полезную нагрузку обратно отправителю.[нужна цитата ]
Затронутые версии OpenSSL выделяют буфер памяти для сообщения, которое должно быть возвращено на основе поля длины в запрашивающем сообщении, без учета фактического размера полезной нагрузки этого сообщения. Из-за этой неспособности сделать правильно проверка границ, возвращаемое сообщение состоит из полезной нагрузки, за которой, возможно, следует все, что еще произошло в выделенном буфере памяти.[нужна цитата ]
Таким образом, Heartbleed используется путем отправки искаженного запроса пульса с небольшой полезной нагрузкой и полем большой длины уязвимой стороне (обычно серверу), чтобы вызвать ответ жертвы, позволяя злоумышленникам прочитать до 64 килобайт памяти жертвы, что было вероятно ранее использовался OpenSSL.[67] Если запрос Heartbeat Request может потребовать от стороны «отправить обратно четырехбуквенное слово« птица »», в результате будет получен ответ «птица», «Heartbleed Request» (злонамеренный запрос сердечного ритма) «отправить обратно 500-буквенное» слово «птица» заставляло жертву возвращать слово «птица», за которым следовали все 496 последующих символов, которые жертва имела в активной памяти. Таким образом, злоумышленники могут получать конфиденциальные данные, нарушая конфиденциальность сообщений жертвы. Хотя злоумышленник имеет некоторый контроль над размером раскрытого блока памяти, он не может контролировать его местоположение и, следовательно, не может выбрать, какой контент раскрывается.[нужна цитата ]
Затронутые установки OpenSSL
Затронутые версии OpenSSL: OpenSSL 1.0.1–1.0.1f (включительно). Последующие версии (1.0.1g[68] и позже) и предыдущие версии (ветка 1.0.0 и старше) нет уязвимый.[69] Установки уязвимых версий уязвимы, если OpenSSL не был скомпилирован с -DOPENSSL_NO_HEARTBEATS.[70][71]
Уязвимая программа и функция
Уязвимые исходные файлы программы - это t1_lib.c и d1_both.c, а уязвимые функции - это tls1_process_heartbeat () и dtls1_process_heartbeat ().[72][73]
Пластырь
Проблема может быть решена путем игнорирования сообщений Heartbeat Request, которые запрашивают больше данных, чем требуется для их полезной нагрузки.
Версия 1.0.1g OpenSSL добавляет некоторые проверки границ, чтобы предотвратить чрезмерное чтение буфера. Например, был представлен следующий тест, чтобы определить, вызовет ли запрос сердцебиения Heartbleed; он молча отклоняет злонамеренные запросы.
если (1 + 2 + полезная нагрузка + 16 > s->s3->rrec.длина) возвращаться 0; / * тихо отбрасывать согласно RFC 6520 сек. 4 * /
Система контроля версий OpenSSL содержит полный список изменений.[42]
Влияние
Данные, полученные с помощью атаки Heartbleed, могут включать незашифрованные обмены между сторонами TLS, которые могут быть конфиденциальными, в том числе в любой форме. данные публикации в запросах пользователей. Кроме того, раскрытые конфиденциальные данные могут включать секреты аутентификации, такие как сеансовые куки и пароли, которые могут позволить злоумышленникам выдать себя за пользователя службы.[74]
Атака также может выявить приватные ключи скомпрометированных сторон,[21][23][75] что позволит злоумышленникам расшифровать сообщения (будущий или прошлый сохраненный трафик, захваченный с помощью пассивного прослушивания, если только совершенная прямая секретность используется, и в этом случае можно будет расшифровать только будущий трафик, если он будет перехвачен через атаки человек-посередине ).[нужна цитата ]
Злоумышленник, получивший аутентификационный материал, может выдать себя за владельца материала после того, как жертва установила патч Heartbleed, пока материал принимается (например, до тех пор, пока не будет изменен пароль или закрытый ключ не будет отозван). Таким образом, Heartbleed представляет собой серьезную угрозу конфиденциальности. Однако злоумышленник, выдающий себя за жертву, также может изменить данные. Таким образом, косвенно последствия Heartbleed могут выходить далеко за рамки нарушения конфиденциальности для многих систем.[76]
Опрос взрослых американцев, проведенный в апреле 2014 года, показал, что 60 процентов слышали о Heartbleed. Среди тех, кто пользуется Интернетом, 39 процентов защитили свои онлайн-аккаунты, например, путем изменения паролей или аннулирования аккаунтов; 29% считают, что их личная информация подверглась риску из-за ошибки Heartbleed; и 6% считают, что их личная информация была украдена.[77]
Уязвимость на стороне клиента
Хотя ошибка привлекла больше внимания из-за угрозы, которую она представляет для серверов,[78] Клиенты TLS, использующие затронутые экземпляры OpenSSL, также уязвимы. В чем Хранитель поэтому дублировал Обратное Heartbleed, вредоносные серверы могут использовать Heartbleed для чтения данных из памяти уязвимого клиента.[79] Исследователь безопасности Стив Гибсон сказал о Heartbleed следующее:
Это не только уязвимость на стороне сервера, это также уязвимость на стороне клиента, потому что сервер или кто бы то ни было, к кому вы подключаетесь, может запросить у вас ответное сердцебиение так же, как и вы, чтобы попросить их.[80]
Украденные данные могут содержать имена пользователей и пароли.[81] Reverse Heartbleed затронул миллионы экземпляров приложений.[79] Некоторые из уязвимых приложений перечислены в Раздел «Программные приложения» ниже.[нужна цитата ]
Затронутые конкретные системы
Cisco Systems определила 78 своих продуктов как уязвимые, включая системы IP-телефонии и системы телеприсутствия (видеоконференцсвязи).[82]
Веб-сайты и другие онлайн-сервисы
Анализ размещен на GitHub из наиболее посещаемых веб-сайтов 8 апреля 2014 г. выявили уязвимости на сайтах, в том числе Yahoo!, Imgur, Переполнение стека, Шифер, и УткаУтка.[83][84] Следующие сайты имеют затронутые услуги или сделали объявления, рекомендующие пользователям обновить пароли в ответ на ошибку:
- Akamai Technologies[85]
- Веб-сервисы Amazon[86]
- Ars Technica[87]
- Bitbucket[88]
- BrandVerity[89]
- Freenode[90]
- GitHub[91]
- IFTTT[92]
- Интернет-архив[93]
- Mojang[94]
- Mumsnet[50]
- PeerJ[95]
- Pinterest[96]
- Prezi[97]
- Reddit[98]
- Что-то ужасное[99]
- SoundCloud[100]
- SourceForge[101]
- SparkFun[102]
- Полоса[103]
- Tumblr[104][105]
- Все вики-сайты Фонда Викимедиа (включая Википедию на всех языках)[106][107]
- Wunderlist[108]
Федеральное правительство Канады временно отключило онлайн-сервисы Канадское налоговое агентство (CRA) и несколько правительственных ведомств из-за проблем с безопасностью Heartbleed.[109][110] Перед тем как онлайн-сервисы CRA были закрыты, хакер получил около 900 номера социального страхования.[111][112] Другое канадское правительственное агентство, Статистическое управление Канады, его серверы были скомпрометированы из-за ошибки, а также временно отключили свои службы.[113]
Сопровождающие платформы, такие как Фонд Викимедиа, посоветовали своим пользователям сменить пароли.[106]
Серверы LastPass были уязвимы,[114] но из-за дополнительного шифрования и прямой секретности потенциальные атаки не могли использовать эту ошибку. Однако LastPass рекомендовал своим пользователям менять пароли для уязвимых веб-сайтов.[115]
В Тор Project рекомендовал операторам ретранслятора Tor и операторам скрытых служб отозвать и сгенерировать новые ключи после исправления OpenSSL, но отметил, что ретрансляторы Tor используют два набора ключей и что конструкция Tor с несколькими переходами минимизирует влияние использования одного реле.[39] 586 реле, которые позже были признаны уязвимыми для ошибки Heartbleed, были отключены от сети в качестве меры предосторожности.[116][117][118][119]
Услуги, связанные с игрой, включая Пар, Шахтерское ремесло, Wargaming, Лига Легенд, GOG.com, Источник, Sony Online Entertainment, Скромный комплект, и Путь изгнания были затронуты и впоследствии исправлены.[120]
Программные приложения
Уязвимые программные приложения включают:
- Несколько Hewlett Packard серверные приложения, такие как HP System Management Homepage (SMH) для Linux и Windows.[121]
- Некоторые версии FileMaker 13[122]
- LibreOffice 4.2.0 - 4.2.2 (исправлено в 4.2.3)[123][124]
- LogMeIn утверждал, что «обновил многие продукты и части наших услуг, которые полагаются на OpenSSL».[125]
- Несколько McAfee продукты, в частности, некоторые версии программного обеспечения, обеспечивающие антивирусное покрытие для Microsoft Exchange, программные брандмауэры, а также электронные и веб-шлюзы McAfee[126]
- MySQL Workbench 6.1.4 и ранее[127]
- Oracle MySQL Коннектор / C 6.1.0-6.1.3 и Коннектор / ODBC 5.1.13, 5.2.5-5.2.6, 5.3.2[127]
- Oracle Big Data Appliance (включает Oracle Linux 6)[127]
- Primavera P6 Professional Project Management (включает Primavera P6 Enterprise Project Portfolio Management)[127]
- WinSCP (FTP-клиент для Windows) 5.5.2 и некоторые более ранние версии (уязвимы только с FTP через TLS / SSL, исправлено в 5.5.3)[128]
- Несколько VMware продукты, в том числе VMware ESXi 5.5, VMware Player 6.0, VMware Workstation 10 и серия продуктов, эмуляторов и облачных вычислений Horizon[129]
Несколько других Корпорация Oracle приложения были затронуты.[127]
Операционные системы / прошивки
Пострадало несколько дистрибутивов GNU / Linux, в том числе Debian[130] (и производные, такие как Linux Mint и Ubuntu[131]) и Red Hat Enterprise Linux[132] (и производные, такие как CentOS,[133] Oracle Linux 6[127] и Amazon Linux[134]), а также следующие операционные системы и прошивки:
- Android 4.1.1, используется в различных портативных устройствах.[135] Крис Смит пишет в Отчет Boy Genius затронута только эта версия Android, но это популярная версия Android (Читика заявка 4.1.1 есть на 50 миллионах устройств;[136] Google описывает это как менее 10% активированных Android-устройств). Другие версии Android не уязвимы, так как в них либо отключена проверка пульса, либо используется незатронутая версия OpenSSL.[137][138]
- Прошивки на некоторые AirPort базовые станции[139]
- Прошивки на некоторые Cisco Systems маршрутизаторы[82][140][141]
- Прошивки на некоторые Juniper Networks маршрутизаторы[141][142]
- pfSense 2.1.0 и 2.1.1 (исправлено в 2.1.2)[143]
- DD-WRT версии между 19163 и 23881 включительно (исправлено в 23882)[144]
- Western Digital Прошивка семейства продуктов My Cloud[145]
Услуги по тестированию уязвимостей
Было предоставлено несколько сервисов для проверки того, влияет ли Heartbleed на данный сайт. Однако было заявлено, что многие службы неэффективны для обнаружения ошибки.[146] Доступные инструменты включают:
- Tripwire SecureScan[147]
- AppCheck - статическое двоичное сканирование и фаззинг от Synopsys Software Integrity Group (ранее Codenomicon)[148]
- Аналитика безопасности Pravail от Arbor Network[149]
- Средство проверки Norton Safeweb Heartbleed[150]
- Инструмент тестирования Heartbleed от европейской компании в области ИТ-безопасности[151]
- Тест Heartbleed итальянского криптографа Филиппо Валсорда[152]
- Heartbleed Vulnerability Test, проведенный Cyberoam[153]
- Critical Watch Бесплатный онлайн-тестер Heartbleed[154]
- Metasploit Модуль сканера Heartbleed[155]
- Серверный сканер Heartbleed от Rehmann[156]
- Lookout Mobile Security Heartbleed Detector, приложение для Android устройства, которые определяют версию OpenSSL устройства и указывают, включен ли уязвимый пульс[157]
- Heartbleed Checker, хостинг LastPass[158]
- Онлайн-сканер сетевого диапазона для выявления уязвимости Heartbleed от Pentest-Tools.com[159]
- Официальный Красная шляпа автономный сканер, написанный на языке Python[160]
- Qualys Тест SSL-сервера SSL Labs[161] который не только ищет ошибку Heartbleed, но также может находить другие ошибки реализации SSL / TLS.
- Расширения браузера, например Chromebleed[162] и FoxBleed[163]
- SSL-диагностика[164]
- CrowdStrike Heartbleed Сканер[165] - Сканирует маршрутизаторы, принтеры и другие устройства, подключенные к сети, включая веб-сайты интрасети.[166]
- Отчет о сайте Netcraft[167] - указывает, может ли конфиденциальность веб-сайта быть поставлена под угрозу из-за использования Heartbleed в прошлом, путем проверки данных из опроса SSL Netcraft, чтобы определить, предлагал ли сайт расширение TLS для сердцебиения до раскрытия Heartbleed. Расширения Netcraft для Chrome, Firefox и Opera[168] также выполните эту проверку при поиске потенциально скомпрометированных сертификатов.[169]
Другие инструменты безопасности добавили поддержку для поиска этой ошибки. Например, Tenable Network Security написала плагин для своего Несс сканер уязвимостей, который может сканировать эту ошибку.[170] В Nmap сканер безопасности включает сценарий обнаружения Heartbleed версии 6.45.[171]
Sourcefire выпустил Фырканье правила для обнаружения трафика атак Heartbleed и возможного трафика ответов Heartbleed.[172] Программное обеспечение для анализа пакетов с открытым исходным кодом, такое как Wireshark и tcpdump может идентифицировать пакеты Heartbleed с помощью специальных фильтров пакетов BPF, которые можно использовать для захвата сохраненных пакетов или живого трафика.[173]
Исправление
Уязвимость к Heartbleed устраняется путем обновления OpenSSL до залатанный версия (1.0.1g или новее). OpenSSL можно использовать как отдельную программу, динамический общий объект, или статически связанная библиотека; поэтому процесс обновления может потребовать перезапуска процессов, загруженных с уязвимой версией OpenSSL, а также повторного связывания программ и библиотек, которые связывали его статически. На практике это означает обновление пакетов, которые статически связывают OpenSSL, и перезапуск запущенных программ для удаления хранящейся в памяти копии старого уязвимого кода OpenSSL.[нужна цитата ]
После исправления уязвимости администраторы сервера должны устранить потенциальное нарушение конфиденциальности. Потому что Heartbleed позволил злоумышленникам раскрыть приватные ключи, они должны рассматриваться как скомпрометированные; пары ключей должны быть восстановлены, и сертификаты что использовать их необходимо переоформлять; старые сертификаты должны быть отозван. Heartbleed также может позволить раскрыть другие секреты в памяти; следовательно, другой аутентификационный материал (например, пароли ) также следует регенерировать. Редко возможно подтвердить, что система, которая была затронута, не была взломана, или определить, была ли утечка определенной части информации.[174]
Поскольку сложно или невозможно определить, когда учетные данные могли быть скомпрометированы и как они могли быть использованы злоумышленником, некоторые системы могут потребовать дополнительных работ по исправлению даже после исправления уязвимости и замены учетных данных. Например, подписи, сделанные ключами, которые использовались с уязвимой версией OpenSSL, вполне могли быть сделаны злоумышленником; это повышает вероятность нарушения целостности и открывает подписи для отказ. Проверка подписей и легитимность других аутентификаций, выполненных с потенциально скомпрометированным ключом (например, сертификат клиента use) должно выполняться с учетом конкретной задействованной системы.[нужна цитата ]
Уведомление об отзыве сертификата безопасности браузера
Поскольку Heartbleed угрожает конфиденциальности закрытых ключей, пользователи взломанного веб-сайта могут продолжать страдать от последствий Heartbleed, пока их браузер не узнает об отзыве сертификата или не истечет срок действия скомпрометированного сертификата.[175] По этой причине исправление также зависит от пользователей, использующих браузеры с актуальными списками отзыва сертификатов (или OCSP support) и соблюдать отзыв сертификата.[нужна цитата ]
Основные причины, возможные уроки и реакции
Хотя оценить общую стоимость Heartbleed сложно, eWEEK оценил отправную точку в 500 миллионов долларов США.[176]
Статья Дэвида А. Уиллера Как предотвратить следующее кровотечение из сердца анализирует, почему Heartbleed не был обнаружен раньше, и предлагает несколько методов, которые могли бы привести к более быстрой идентификации, а также методы, которые могли бы уменьшить его влияние. По словам Уиллера, самый эффективный метод, который мог бы предотвратить Heartbleed, - это набор тестов, тщательно выполняющий испытание на устойчивость, т.е. проверка того, что недопустимые входные данные вызывают скорее неудачу, чем успех Уилер подчеркивает, что единый набор тестов общего назначения может служить основой для всех реализаций TLS.[177]
Согласно статье о Разговор Написанный Робертом Меркель, Heartbleed показал массовый отказ анализа рисков. Меркель считает, что OpenSSL придает большее значение производительности, чем безопасности, что, по его мнению, больше не имеет смысла. Но Меркель считает, что нельзя обвинять OpenSSL так сильно, как пользователей OpenSSL, которые решили использовать OpenSSL, не финансируя более качественный аудит и тестирование. Меркель объясняет, что два аспекта определяют риск того, что большее количество похожих ошибок вызовет уязвимости. Во-первых, исходный код библиотеки влияет на риск написания таких ошибок. Во-вторых, процессы OpenSSL влияют на шансы быстрого обнаружения ошибок. По первому аспекту Меркель упоминает об использовании Язык программирования C как один из факторов риска, способствовавших появлению Heartbleed, что перекликается с анализом Уиллера.[177][178]
В том же аспекте, Тео де Раадт, основатель и лидер OpenBSD и OpenSSH projects, критиковал разработчиков OpenSSL за написание собственных процедур управления памятью и тем самым, как он утверждает, обходя OpenBSD Стандартная библиотека C использовать контрмеры, говоря: «OpenSSL разрабатывается не ответственной командой».[179][180] После раскрытия информации Heartbleed участники проекта OpenBSD раздвоенный OpenSSL в LibreSSL.[181]
Автор изменения, которое представило Heartbleed, Робин Сеггельманн,[182] заявил, что он пропустил проверку переменной, содержащей длину и отрицал любое намерение представить некорректную реализацию.[18] После раскрытия информации Heartbleed Сеггельманн предложил сосредоточиться на втором аспекте, заявив, что OpenSSL не проверяется достаточным количеством людей.[183] Хотя работа Сеггельманна была проверена разработчиком ядра OpenSSL, обзор также был предназначен для проверки функциональных улучшений, что значительно упрощает упускать уязвимости.[177]
Разработчик ядра OpenSSL Бен Лори утверждал, что аудит безопасности OpenSSL поймал бы Heartbleed.[184] Инженер-программист Джон Уолш прокомментировал:
Подумайте об этом, у OpenSSL есть всего два [штатных] человека, которые пишут, поддерживают, тестируют и проверяют 500 000 строк критически важного для бизнеса кода.[185]
Президент фонда OpenSSL Стив Маркиз сказал: «Загадка не в том, что несколько перегруженных работой добровольцев пропустили эту ошибку; загадка в том, почему это не происходило чаще».[186] Дэвид А. Уиллер описал аудит как отличный способ поиска уязвимостей в типичных случаях, но отметил, что «OpenSSL использует излишне сложные структуры, что затрудняет проверку как людьми, так и машинами». Он написал:
Необходимо постоянно прилагать усилия для упрощения кода, поскольку в противном случае простое добавление возможностей будет постепенно увеличивать сложность программного обеспечения. Код необходимо со временем реорганизовать, чтобы сделать его простым и понятным, а не просто постоянно добавлять новые функции. Целью должен быть код, который «очевидно правильный», в отличие от кода, который настолько сложен, что «я не вижу никаких проблем».[177]
LibreSSL провел большую очистку кода, удалив более 90 000 строк кода C всего за первую неделю.[187]
По словам исследователя безопасности Дэн Камински, Heartbleed - признак экономической проблемы, которую необходимо решить. Видя время, затраченное на то, чтобы отловить эту простую ошибку в простой функции из «критической» зависимости, Камински опасается многочисленных будущих уязвимостей, если ничего не будет сделано. Когда открыли Heartbleed, OpenSSL поддерживала горстка добровольцев, из которых только один работал полный рабочий день.[188] Ежегодные пожертвования на проект OpenSSL составляли около 2000 долларов США.[189] Сайт Heartbleed от Codenomicon посоветовал сделать денежные пожертвования проекту OpenSSL.[21] Узнав о пожертвованиях в течение 2 или 3 дней после раскрытия информации Heartbleed на общую сумму 841 доллар США, Камински прокомментировал: «Мы создаем самые важные технологии для мировой экономики на шокирующе недостаточно финансируемой инфраструктуре».[190] Разработчик ядра Бен Лори квалифицировал проект как «полностью нефинансированный».[189] Хотя OpenSSL Software Foundation не имеет программа вознаграждения за ошибки, инициатива Internet Bug Bounty присудила 15 000 долларов США Нилу Мехте из Google, который обнаружил Heartbleed, за его ответственное раскрытие информации.[189]
Пол Кьюзано предположил, что Heartbleed, возможно, возник в результате провала экономики программного обеспечения.[191]
Коллективным ответом отрасли на кризис стал Инициатива базовой инфраструктуры, многомиллионный проект, объявленный Linux Foundation 24 апреля 2014 года для финансирования важнейших элементов глобальной информационной инфраструктуры.[192] Инициатива направлена на то, чтобы ведущие разработчики могли работать над своими проектами на полную ставку и оплачивать аудит безопасности, аппаратную и программную инфраструктуру, командировочные и другие расходы.[193] OpenSSL претендует на звание первого получателя финансирования инициативы.[192]
После открытия Google установил Project Zero Задача которого состоит в поиске уязвимостей нулевого дня для защиты сети и общества.[194]
Рекомендации
- ^ Маккензи, Патрик (9 апреля 2014 г.). "Что Heartbleed может научить сообщество OSS маркетингу". Kalzumeus. Получено 8 февраля 2018.
- ^ Биггс, Джон (9 апреля 2014 г.). «Heartbleed, первая ошибка безопасности с классным логотипом». TechCrunch. Получено 8 февраля 2018.
- ^ «Рекомендации по безопасности - уязвимость OpenSSL Heartbleed». Cyberoam. 11 апреля 2014 г.. Получено 8 февраля 2018.
- ^ Лаймер, Эрик (9 апреля 2014 г.). «Как работает Heartbleed: код кошмара безопасности в Интернете». Получено 24 ноября 2014.
- ^ а б "CVE-2014-0160". Распространенные уязвимости и подверженности. Митра. Получено 8 февраля 2018.
- ^ «CWE-126: переполнение буфера (3,0)». Распространенные уязвимости и подверженности. Митра. 18 января 2018 г.. Получено 8 февраля 2018.
- ^ "AL14-005: Уязвимость OpenSSL Heartbleed". Бюллетени кибербезопасности. Общественная безопасность Канады. 11 апреля 2014 г.. Получено 8 февраля 2018.
- ^ "Добавить проверку границ расширения пульса". git.openssl.org. OpenSSL. Получено 5 марта 2019.
- ^ Лейден, Джон (20 мая 2014 г.). «AVG на Heartbleed: идти одному опасно. Возьмите это (инструмент AVG)». Реестр. Получено 8 февраля 2018.
- ^ а б Грэм, Роберт (21 июня 2014 г.). "300 тысяч серверов уязвимы для Heartbleed два месяца спустя". Исправление ошибок. Получено 22 июн 2014.
- ^ а б Шодан (23 января 2017 г.). «Отчет Heartbleed (2017-01)». shodan.io. Архивировано из оригинал 23 января 2017 г.. Получено 10 июля 2019.
- ^ а б Шварц, Мэтью Дж. (30 января 2017 г.). «Heartbleed Lingers: почти 180 000 серверов все еще уязвимы». Безопасность информации о банке. Получено 10 июля 2019.
- ^ а б Мак Витти, Лори (2 февраля 2017 г.). «Дружественное напоминание: безопасность приложений в облаке - ваша ответственность». F5 Labs. Получено 10 июля 2019.
- ^ а б Кэри, Патрик (10 июля 2017 г.). "Изжога Heartbleed: почему 5-летняя уязвимость продолжает кусаться". Журнал безопасности. Получено 10 июля 2019.
- ^ Shodan (11 июля 2019 г.). «[2019] Отчет Heartbleed». Shodan. Получено 11 июля 2019.
- ^ Преториус, Трейси (10 апреля 2014 г.). «Службы Microsoft не подвержены уязвимости OpenSSL Heartbleed». Microsoft. Получено 8 февраля 2018.
- ^ Сеггельманн, Робин; Туэксен, Майкл; Уильямс, Майкл (февраль 2012 г.). Безопасность транспортного уровня (TLS) и расширение периодических сигналов безопасности транспортного уровня дейтаграмм (DTLS). IETF. Дои:10.17487 / RFC6520. ISSN 2070-1721. RFC 6520. Получено 8 февраля 2018.
- ^ а б Грабб, Бен (11 апреля 2014 г.). «Человек, обнаруживший серьезную брешь в системе безопасности« Heartbleed », отрицает, что ввел ее намеренно». Sydney Morning Herald.
- ^ "# 2658: [PATCH] Добавить контрольные сигналы TLS / DTLS". OpenSSL. 2011 г.
- ^ «Познакомьтесь с человеком, который создал ошибку, которая чуть не сломала Интернет». Глобус и почта. 11 апреля 2014 г.
- ^ а б c d е "Heartbleed Bug". 8 апреля 2014 г.
- ^ Гудин, Дэн (8 апреля 2014 г.). «Критическая криптографическая ошибка в OpenSSL открывает две трети Интернета для подслушивания». Ars Technica.
- ^ а б Бар-Эль, Хагай (9 апреля 2014 г.). Ошибка "OpenSSL" Heartbleed ": что на сервере подвержено риску, а что нет".
- ^ "Марк Дж. Кокс - #Heartbleed". Получено 12 апреля 2014.
- ^ Дьюи, Кейтлин. «Почему это называется« Heartbleed Bug »?». Получено 25 ноября 2014.
- ^ Ли, Тимоти Б. (10 апреля 2014 г.). "Кто обнаружил уязвимость?". Vox. Получено 4 декабря 2017.
- ^ Ли, Ариана (13 апреля 2014 г.). "Как Codenomicon обнаружил ошибку Heartbleed, теперь преследующую Интернет - ReadWrite". Читай пиши. Получено 4 декабря 2017.
Обнаруженный независимо инженером Google Нилом Мехтой и финской фирмой по безопасности Codenomicon, Heartbleed был назван "одной из самых серьезных проблем безопасности, когда-либо затрагиваемых современной сетью".
- ^ "Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä - transl. / Финские исследователи обнаружили серьезную утечку в сердце Интернета". 10 апреля 2014 г.. Получено 13 апреля 2014.
- ^ Баранина, Пол (8 апреля 2014 г.). «Полмиллиона пользующихся доверием веб-сайтов уязвимы для ошибки Heartbleed». Netcraft Ltd. Получено 24 ноября 2014.
- ^ Перлрот, Николь; Харди, Квентин (11 апреля 2014 г.). «По мнению экспертов, уязвимость Heartbleed может достигнуть и цифровых устройств». Нью-Йорк Таймс.
- ^ Чен, Брайан X. (9 апреля 2014 г.). "Q. и A. о Heartbleed: недостаток, упущенный массами". Нью-Йорк Таймс.
- ^ Вуд, Молли (10 апреля 2014 г.). «Эксперты говорят, что необходимо изменить пароли». Нью-Йорк Таймс.
- ^ Манджу, Фархад (10 апреля 2014 г.). «Строгое напоминание пользователей: по мере роста Интернета он становится менее защищенным». Нью-Йорк Таймс.
- ^ Чжу, Ян (8 апреля 2014 г.). «Почему Интернету больше, чем когда-либо, нужна совершенная прямая секретность». Фонд электронных рубежей.
- ^ Гудин, Дэн (8 апреля 2014 г.). "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica.
- ^ "Schneier on Security: Heartbleed". Шнайер о безопасности. 11 апреля 2014 г.
- ^ Joseph Steinberg (10 April 2014). "Massive Internet Security Vulnerability – Here's What You Need To Do". Forbes.
- ^ Kelion, Leo (11 April 2014). "BBC News – US government warns of Heartbleed bug danger". BBC.
- ^ а б "OpenSSL bug CVE-2014-0160". Tor Project. 7 апреля 2014 г.
- ^ Grubb, Ben (14 April 2014), "График раскрытия информации: кто знал, что и когда", Sydney Morning Herald, получено 25 ноября 2014
- ^ "heartbeat_fix". Получено 14 апреля 2014.
- ^ а б ""complete list of changes" (Git – openssl.git/commitdiff)". Проект OpenSSL. 7 апреля 2014 г.. Получено 10 апреля 2014.
- ^ "Heartbleed certificate revocation tsunami yet to arrive". Netcraft. 11 апреля 2014 г.. Получено 24 апреля 2014.
- ^ Paul Mutton (9 May 2014). "Keys left unchanged in many Heartbleed replacement certificates!". Netcraft. Получено 11 сентября 2016.
- ^ Sean Michael Kerner (10 May 2014). "Heartbleed Still a Threat to Hundreds of Thousands of Servers". eWEEK.
- ^ Evans, Pete (14 April 2014), Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC Новости Some of the details are in the video linked from the page.
- ^ "Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug". 14 апреля 2014 г. Архивировано с оригинал 4 ноября 2014 г.. Получено 4 ноября 2014.
- ^ Thibedeau, Hannah (16 April 2014). "Heartbleed bug accused charged by RCMP after SIN breach". CBC Новости.
- ^ "Heartbleed hack case sees first arrest in Canada". Новости BBC. 16 апреля 2014 г.
- ^ а б Kelion, Leo (14 April 2014). "BBC News – Heartbleed hacks hit Mumsnet and Canada's tax agency". Новости BBC.
- ^ "Mumsnet and Heartbleed as it happened". Mumsnet. Архивировано из оригинал 29 декабря 2017 г.. Получено 17 апреля 2014.
- ^ Ward, Mark (29 April 2014). "Heartbleed used to uncover data from cyber-criminals". Новости BBC.
- ^ Lawler, Richard (11 April 2014). "Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible". Engadget.
- ^ "The Heartbleed Challenge". CloudFlare. 2014. Архивировано с оригинал on 12 April 2014.
- ^ Robertson, Jordan (16 April 2014). "Hackers from China waste little time in exploiting Heartbleed". Sydney Morning Herald.
- ^ Sam Frizell. "Time Magazine: Report: Devastating Heartbleed Flaw Was Used in Hospital Hack". Получено 7 октября 2014.
- ^ Cipriani, Jason (9 April 2014). "Heartbleed bug: Check which sites have been patched". CNET.
- ^ Gallagher, Sean (9 April 2014). "Heartbleed vulnerability may have been exploited months before patch". Ars Technica.
- ^ Экерсли, Питер. "Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?". Eff.org. Получено 25 ноября 2014.
- ^ Graham, Robert (9 April 2014). "No, we weren't scanning for hearbleed before April 7". Errata Security.
- ^ Riley, Michael (12 April 2014). "NSA Said to Exploit Heartbleed Bug for Intelligence for Years". Bloomberg L.P.
- ^ Molina, Brett. "Report: NSA exploited Heartbleed for years". USA Today. Получено 11 апреля 2014.
- ^ Riley, Michael. "NSA exploited Heartbleed bug for two years to gather intelligence, sources say". Финансовая почта. Получено 11 апреля 2014.
- ^ "Statement on Bloomberg News story that NSA knew about the 'Heartbleed bug' flaw and regularly used it to gather critical intelligence". Национальное Агенство Безопасности. 11 апреля 2014 г.
- ^ Марк Хозенболл; Will Dunham (11 April 2014). "White House, spy agencies deny NSA exploited 'Heartbleed' bug". Рейтер.
- ^ Зеттер, Ким. "U.S. Gov Insists It Doesn't Stockpile Zero-Day Exploits to Hack Enemies". wired.com. Получено 25 ноября 2014.
- ^ Hunt, Troy (9 April 2014). "Everything you need to know about the Heartbleed SSL bug".
- ^ "git.openssl.org Git – openssl.git/log". git.openssl.org. Архивировано из оригинал 15 апреля 2014 г.. Получено 25 ноября 2014.
- ^ "Spiceworks Community Discussions". community.spiceworks.com. Получено 11 апреля 2014.
- ^ The OpenSSL Project (7 April 2014). "OpenSSL Security Advisory [07 Apr 2014]".
- ^ "OpenSSL versions and vulnerability [9 April 2014]". Архивировано из оригинал 5 июля 2014 г.. Получено 9 апреля 2014.
- ^ "Cyberoam Users Need not Bleed over Heartbleed Exploit". cyberoam.com. Архивировано из оригинал 15 апреля 2014 г.. Получено 11 апреля 2014.
- ^ "tls1_process_heartbeat [9 April 2014]". Получено 10 апреля 2014.
- ^ "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014 г.
- ^ John Graham-Cumming (28 April 2014). "Searching for The Prime Suspect: How Heartbleed Leaked Private Keys". CloudFlare. Получено 7 июн 2014.
- ^ Judge, Kevin. "Servers Vulnerable to Heartbleed [14 July 2014]". Архивировано из оригинал 26 августа 2014 г.. Получено 25 августа 2014.
- ^ Lee Rainie; Maeve Duggan (30 April 2014). "Heartbleed's Impact". Pew Research Internet Project. Pew Research Center. п. 2.
- ^ Bradley, Tony (14 April 2014). "Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack". PCWorld. IDG Consumer & SMB.
- ^ а б Charles Arthur (15 April 2014). "Heartbleed makes 50m Android phones vulnerable, data shows". Хранитель. Guardian News and Media Limited.
- ^ "Security Now 451". Twit.Tv. Получено 19 апреля 2014.
- ^ Ramzan, Zulfikar (24 April 2014). "'Reverse Heartbleed' can attack PCs and mobile phones". Журнал SC. Haymarket Media, Inc.
- ^ а б "OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products". Cisco Systems. 9 апреля 2014 г.
- ^ "heartbleed-masstest: Overview". GitHub. Получено 19 апреля 2014.
- ^ Cipriani, Jason (10 April 2014). "Which sites have patched the Heartbleed bug?". CNET. Получено 10 апреля 2014.
- ^ "Heartbleed FAQ: Akamai Systems Patched". Akamai Technologies. 8 апреля 2014 г.
- ^ "AWS Services Updated to Address OpenSSL Vulnerability". Веб-сервисы Amazon. 8 апреля 2014 г.
- ^ "Dear readers, please change your Ars account passwords ASAP". Ars Technica. 8 апреля 2014 г.
- ^ "All Heartbleed upgrades are now complete". BitBucket Blog. 9 апреля 2014 г.
- ^ "Keeping Your BrandVerity Account Safe from the Heartbleed Bug". BrandVerity Blog. 9 апреля 2014 г.
- ^ "Twitter / freenodestaff: we've had to restart a bunch..." 8 апреля 2014 г.
- ^ "Security: Heartbleed vulnerability". GitHub. 8 апреля 2014 г.
- ^ "IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed". LifeHacker. 8 апреля 2014 г.
- ^ "Heartbleed bug and the Archive | Internet Archive Blogs". 9 апреля 2014 г.. Получено 14 апреля 2014.
- ^ "Twitter / KrisJelbring: If you logged in to any of". Twitter.com. 8 апреля 2014 г.. Получено 14 апреля 2014.
- ^ "The widespread OpenSSL 'Heartbleed' bug is patched in PeerJ". PeerJ. 9 апреля 2014 г.
- ^ "Was Pinterest impacted by the Heartbleed issue?". Help Center. Pinterest. Архивировано из оригинал 21 апреля 2014 г.. Получено 20 апреля 2014.
- ^ "Heartbleed Defeated". Архивировано из оригинал 5 июня 2014 г.. Получено 13 апреля 2014.
- ^ Staff (14 April 2014). "We recommend that you change your reddit password". Reddit. Получено 14 апреля 2014.
- ^ "IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI". Получено 13 апреля 2014.
- ^ Codey, Brendan (9 April 2014). "Security Update: We're going to sign out everyone today, here's why". SoundCloud.
- ^ "SourceForge response to Heartbleed". SourceForge. 10 апреля 2014 г.
- ^ "Heartbleed". SparkFun. 9 апреля 2014 г.
- ^ "Heartbleed". Stripe (компания). 9 апреля 2014 г.. Получено 10 апреля 2014.
- ^ "Tumblr Staff-Urgent security update". 8 апреля 2014 г.. Получено 9 апреля 2014.
- ^ Hern, Alex (9 April 2014). "Heartbleed: don't rush to update passwords, security experts warn". Хранитель.
- ^ а б Grossmeier, Greg (8 April 2014). "[Wikitech-l] Fwd: Security precaution – Resetting all user sessions today". Фонд Викимедиа. Получено 9 апреля 2014.
- ^ Grossmeier, Greg (10 April 2014). "Wikimedia's response to the "Heartbleed" security vulnerability". Wikimedia Foundation blog. Фонд Викимедиа. Получено 10 апреля 2014.
- ^ "Wunderlist & the Heartbleed OpenSSL Vulnerability". 10 April 2014. Archived from оригинал 13 апреля 2014 г.. Получено 10 апреля 2014.
- ^ "Security concerns prompts tax agency to shut down website". Новости CTV. 9 апреля 2014 г.. Получено 9 апреля 2014.
- ^ "Heartbleed: Canadian tax services back online". CBC Новости. Получено 14 апреля 2014.
- ^ Ogrodnik, Irene (14 April 2014). "900 SINs stolen due to Heartbleed bug: Canada Revenue Agency | Globalnews.ca". globalnews.ca. Глобальные новости. Получено 4 мая 2019.
- ^ Seglins, Dave (3 December 2014). "CRA Heartbleed hack: Stephen Solis-Reyes facing more charges". cbc.ca. CBC Новости. Получено 4 мая 2019.
- ^ "The Statistics Canada Site Was Hacked By an Unknown Attacker". Vice - Motherboard. Получено 23 декабря 2018.
- ^ Fiegerman, Seth (14 April 2014). "The Heartbleed Effect: Password Services Are Having a Moment". Mashable.
- ^ "LastPass and the Heartbleed Bug". LastPass. 8 апреля 2014 г.. Получено 28 апреля 2014.
- ^ "[tor-relays] Rejecting 380 vulnerable guard/exit keys". Lists.torproject.org. Получено 19 апреля 2014.
- ^ "Tor Weekly News—April 16th, 2014 | The Tor Blog". Blog.torproject.org. Получено 19 апреля 2014.
- ^ Gallagher, Sean (17 May 2012). "Tor network's ranks of relay servers cut because of Heartbleed bug". Ars Technica. Получено 19 апреля 2014.
- ^ Mimoso, Michael. "Tor Blacklisting Exit Nodes Vulnerable to Heartbleed Bug | Threatpost | The first stop for security news". Threatpost. Получено 19 апреля 2014.
- ^ Paul Younger (11 April 2014). "PC game services affected by Heartbleed and actions you need to take". IncGamers.
- ^ "HP Servers Communication: OpenSSL "HeartBleed" Vulnerability". 18 апреля 2014 г. Архивировано с оригинал 4 марта 2016 г.
- ^ "FileMaker products and the Heartbleed bug". 6 May 2014.
- ^ italovignoli (10 April 2014). "LibreOffice 4.2.3 is now available for download". Фонд документа. В архиве из оригинала 12 апреля 2014 г.. Получено 11 апреля 2014.
- ^ "CVE-2014-0160". LibreOffice. 7 апреля 2014 г.. Получено 2 мая 2014.
- ^ "LogMeIn and OpenSSL". LogMeIn. Получено 10 апреля 2014.
- ^ "McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products". McAfee KnowledgeBase. McAfee. 17 апреля 2014 г.
- ^ а б c d е ж "OpenSSL Security Bug - Heartbleed / CVE-2014-0160". Получено 12 мая 2014.
- ^ "Recent Version History". WinSCP. 14 апреля 2014 г.. Получено 2 мая 2014.
- ^ "Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed"". VMware, Inc. Получено 17 апреля 2014.
- ^ "DSA-2896-1 openssl—security update". Проект Debian. 7 апреля 2014 г.
- ^ "Ubuntu Security Notice USN-2165-1". Canonical, Ltd. 7 April 2014. Получено 17 апреля 2014.
- ^ "Important: openssl security update". Red Hat, Inc. 8 April 2014.
- ^ "Karanbir Singh's posting to CentOS-announce". centos.org. 8 апреля 2014 г.
- ^ "Amazon Linux AMI Security Advisory: ALAS-2014-320". Amazon Web Services, Inc. 7 April 2014. Получено 17 апреля 2014.
- ^ "Android 4.1.1 devices vulnerable to Heartbleed bug, says Google". NDTV Convergence. 14 апреля 2014 г.
- ^ "Around 50 million Android smartphones are still vulnerable to the Heartbleed Bug". Fox News. 17 апреля 2014 г.
- ^ "Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected". BGR Media. 16 апреля 2014 г.
- ^ Blaich, Andrew (8 April 2014). "Heartbleed Bug Impacts Mobile Devices". Bluebox. Архивировано из оригинал 6 мая 2014 г.
- ^ Snell, Jason (22 April 2014). "Apple releases Heartbleed fix for AirPort Base Stations". Macworld.
- ^ Kleinman, Alexis (11 April 2014). "The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do". The Huffington Post.
- ^ а б Yadron, Danny (10 April 2014). "Heartbleed Bug Found in Cisco Routers, Juniper Gear". Dow Jones & Company, Inc.
- ^ "2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)". Juniper Networks. 14 апреля 2014 г.
- ^ "OpenSSL "Heartbleed" Information Disclosure, ECDSA". Electric Sheep Fencing LLC. 8 апреля 2014 г.. Получено 2 мая 2014.
- ^ "OpenVPN affected by OpenSSL bug CVE-2014-016?". DD-WRT Forum. Получено 26 февраля 2017.
- ^ "Heartbleed Bug Issue". Western Digital. 10 April 2014. Archived from оригинал 19 апреля 2014 г.
- ^ Brewster, Tom (16 April 2014). "Heartbleed: 95% of detection tools 'flawed', claim researchers". Хранитель. Guardian News and Media Limited.
- ^ "Tripwire SecureScan". Tripwire – Take Control of IT Security and Regulatory Compliance with Tripwire Software. Получено 7 октября 2014.
- ^ "AppCheck – static binary scan, from Codenomicon". Архивировано из оригинал 17 октября 2014 г.. Получено 7 октября 2014.
- ^ "Arbor Network's Pravail Security Analytics". Архивировано из оригинал 11 апреля 2014 г.. Получено 7 октября 2014.
- ^ "Norton Safeweb Heartbleed Check Tool". Получено 7 октября 2014.
- ^ "Heartbleed OpenSSL extension testing tool, CVE-2014-0160". Possible.lv. Получено 11 апреля 2014.
- ^ "Test your server for Heartbleed (CVE-2014-0160)". Получено 25 ноября 2014.
- ^ "Cyberoam Security Center". Архивировано из оригинал 15 апреля 2014 г.. Получено 25 ноября 2014.
- ^ "Critical Watch :: Heartbleed Tester :: CVE-2014-0160". Heartbleed.criticalwatch.com. Архивировано из оригинал 14 апреля 2014 г.. Получено 14 апреля 2014.
- ^ "metasploit-framework/openssl_heartbleed.rb at master". Получено 25 ноября 2014.
- ^ "OpenSSL Heartbeat Vulnerability Check (Heartbleed Checker)". Получено 25 ноября 2014.
- ^ "Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App". Lookout Mobile Security блог. 9 апреля 2014 г.. Получено 10 апреля 2014.
- ^ "Heartbleed checker". LastPass. Получено 11 апреля 2014.
- ^ "OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools". Pentest-tools.com. Получено 11 апреля 2014.
- ^ Stafford, Jared (14 April 2014). "heartbleed-poc.py". Red Hat, Inc.
- ^ "Qualys's SSL Labs' SSL Server Test". Получено 7 октября 2014.
- ^ "Chromebleed". Получено 7 октября 2014.
- ^ "FoxBleed". Архивировано из оригинал 12 октября 2014 г.. Получено 7 октября 2014.
- ^ "SSL Diagnos". SourceForge. Получено 7 октября 2014.
- ^ "CrowdStrike Heartbleed Scanner". Получено 7 октября 2014.
- ^ Линн, Самара. "Routers, SMB Networking Equipment – Is Your Networking Device Affected by Heartbleed?". PCMag.com. Получено 24 апреля 2014.
- ^ "Netcraft Site Report". Получено 7 октября 2014.
- ^ "Netcraft Extensions". Получено 7 октября 2014.
- ^ Mutton, Paul (24 June 2014). "Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera". Netcraft.
- ^ Mann, Jeffrey (9 April 2014). "Tenable Facilitates Detection of OpenSSL Vulnerability Using Nessus and Nessus Perimeter Service". Tenable Network Security.
- ^ "Nmap 6.45 Informal Release". 12 апреля 2014 г.
- ^ "VRT: Heartbleed Memory Disclosure – Upgrade OpenSSL Now!". 8 апреля 2014 г.
- ^ "Blogs | How to Detect a Prior Heartbleed Exploit". Riverbed. 9 апреля 2014 г.
- ^ "Patched Servers Remain Vulnerable to Heartbleed OpenSSL | Hayden James". Haydenjames.io. Получено 10 апреля 2014.
- ^ "Security Certificate Revocation Awareness – Specific Implementations". Gibson Research Corporation. Получено 7 июн 2014.
- ^ Sean Michael Kerner (19 April 2014). "Heartbleed SSL Flaw's True Cost Will Take Time to Tally". eWEEK.
- ^ а б c d A. Wheeler, David (29 April 2014). "How to Prevent the next Heartbleed".
- ^ Merkel, Robert (11 April 2014). "How the Heartbleed bug reveals a flaw in online security". Разговор.
- ^ "Re: FYA: http: heartbleed.com". Gmane. Архивировано из оригинал 11 апреля 2014 г.. Получено 11 апреля 2014.
- ^ "Theo De Raadt's Small Rant On OpenSSL". Slashdot. Dice. 10 апреля 2014 г.
- ^ «OpenBSD начала массовое разборку и очистку OpenSSL». OpenBSD journal. 15 апреля 2014 г.
- ^ Lia Timson (11 April 2014). "Who is Robin Seggelmann and did his Heartbleed break the internet?". Sydney Morning Herald.
- ^ Williams, Chris (11 April 2014). "OpenSSL Heartbleed: Bloody nose for open-source bleeding hearts". Реестр.
- ^ Smith, Gerry (10 April 2014). "How The Internet's Worst Nightmare Could Have Been Avoided". The Huffington Post.
The bug revealed this week was buried inside 10 lines of code and would have been spotted in an audit, according to Laurie, who works on the security team at Google.
- ^ John Walsh (30 April 2014). "Free Can Make You Bleed". ssh communications security. Архивировано из оригинал 2 декабря 2016 г.. Получено 11 сентября 2016.
- ^ Walsh, John (30 April 2014). "Free Can Make You Bleed". SSH Communications Security.
- ^ Зельцер, Ларри (21 апреля 2014 г.). "OpenBSD разветвляет, сокращает, исправляет OpenSSL". Нулевой день. ZDNet. Получено 21 апреля 2014.
- ^ Pagliery, Jose (18 April 2014). "Your Internet security relies on a few volunteers". CNNMoney. Кабельная Новостная Сеть.
- ^ а б c Перлрот, Николь (18 апреля 2014 г.). «Heartbleed указывает на противоречие в сети». Нью-Йорк Таймс. Компания New York Times.
- ^ Kaminsky, Dan (10 April 2014). "Be Still My Breaking Heart". Dan Kaminsky's Blog.
- ^ Chiusano, Paul (8 December 2014). "The failed economics of our software commons, and what you can about it right now". Paul Chiusano's blog.
- ^ а б «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и The Linux Foundation формируют новую инициативу по поддержке важных проектов с открытым исходным кодом». Фонд Linux. 24 апреля 2014 г.
- ^ Paul, Ian (24 April 2014). "In Heartbleed's wake, tech titans launch fund for crucial open-source projects". PCWorld.
- ^ "Google Project Zero aims to keep the Heartbleed Bug from happening again". TechRadar. Получено 9 апреля 2017.
Библиография
- Durumeric, Zakir; и другие. (2014). The Matter of Heartbleed. Proceedings of the 2014 Conference on Internet Measurement Conference. pp. 475–488. Дои:10.1145/2663716.2663755. ISBN 9781450332132.