Heartbleed

Heartbleed er et programvaresårbarhet som er tilstede i OpenSSL krypteringsbibliotek med åpen kildekodeframars 2012, som lar en "angriper" lese minnet til en server eller en klient for å gjenopprette for eksempel de private nøklene som brukes under en kommunikasjon med Transport Layer Security (TLS) -protokollen. Funn iMars 2014 og offentliggjort den 7. april 2014, det gjelder mange Internett- tjenester . Dermed ville 17% av såkalte sikre webservere, eller omtrent en halv million servere, ha blitt påvirket av feilen da feilen ble oppdaget.

Historie

Sikkerhetsproblemet ble angivelig introdusert i OpenSSL-arkivet ved en feiltakelse, etter et forslag til feilrettinger og forbedringer av funksjoner, av en frivillig utvikler. Forslaget ble gjennomgått og validert av OpenSSL-teamet den31. desember 2011, og den sårbare koden ble lagt til i versjon 1.0.1 av OpenSSL, the 14. mars 2012.

I april 2014, ble feilen oppdaget uavhengig av sikkerhetsteamet til Google og av ingeniører fra det finske selskapet Codenomicon.

Konsekvenser

Denne feilen kan tillate ondsinnede Internett-brukere å hente informasjon som ligger på serverne til et sårbart nettsted, uten kjennskap til brukeren som eier den. Denne personlige informasjonen skal være utilgjengelig og beskyttet, men flere eksperter har funnet passord for brukere av utsatte nettsteder. Likevel forblir en Google-forsker som deltok i korrigering av feilen, mer målt og skriver for å ha sett bare fragmentert informasjon eller ikke å ha sett sensitiv informasjon.

Sårbarheten fremhevet mangelen på ressurser for gratis programvare som OpenSSL og førte til et samlet finansieringsprosjekt for sistnevnte av mange store IT-selskaper ( Amazon Web Services , Microsoft , Google , Facebook , etc.). Dette felles prosjektet kalles Core Infrastructure Initiative .

Revisjonsresultatene ser ut til å vise at noen "angripere" kan ha utnyttet feilen i minst fem måneder før den ble offisielt oppdaget og løst.

Enheter som kjører Android 4.1.1 påvirkes av sårbarheten, dvs. i underkant av 10% av aktive enheter.

Den mulige innflytelsen av sårbarheten ble først løst gjennom forsiktighetsprinsippet , med mange nettsteder som krever at brukerne endrer passord etter å ha brukt sikkerhetsoppdateringer. De11. april 2014, CloudFlare forklarer at sikkerhetsspesialistene ikke klarte å utnytte smutthullet for å trekke ut SSL-sikkerhetsnøkler, og utlede at risikoen som er involvert, kan være mindre enn forventet. For å bekrefte dette, lanserer selskapet en konkurranse for å utnytte sårbarheten, som blir vunnet av to personer i løpet av dagen.

Ifølge Bloomberg , den National Security Agency (NSA) utnyttet smutthull i minst to år, for overvåking og spionasje operasjoner. Byrået avviser samme dag.

Eksperter, inkludert Johannes Ullrich fra SANS Institute , sier at oppdatering av nettlesers sikkerhetssertifikater vil redusere tilgangen til noen nettsteder.

Den nettsiden Filippo Valsorda tester om et område er utsatt eller ikke.

Sårbare versjoner

• Tidligere versjoner (0.9.8 og 1.0.0) av OpenSSL er ikke sårbare for denne feilen.
• Versjoner 1.0.1 (tilgjengelig siden desember 2011) til 1.0.1f (inkludert) av OpenSSL er sårbare.
• Versjon 1.0.1g tilgjengelig siden 7. april 2014 fikser feilen.

Berørte tjenester og programvare

Nettsteder

Følgende nettsteder ble berørt eller kunngjorde at brukerne endret passordene sine, som et resultat av feilen:

• Akamai Technologies
• Amazon Web Services
• Ars Technica
• Bitbucket
• BrandVerity
• Freenode
• GitHub
• IFTTT
• Internett-arkiv
• Mojang
• Mumsnet
• PeerJ
• Pinterest
• Prezi
• Reddit
• Noe forferdelig
• SoundCloud
• SourceForge
• Sparkfun
• Stripe
• Tumblr
• Wattpad
• Wikimedia (inkludert Wikipedia )
• Wunderlist

applikasjoner

Mange applikasjoner er berørt av denne feilen. Redaktører gir oppdateringer, for eksempel:

• IPCop publisert den8. april 2014 en versjon 2.1.4a for å rette feilen;
• Passordadministrasjonsapplikasjonen  online LastPass Password Manager (in)  ;
• LibreOffice 4.2.3 utgitt den10. april 2014 ;
• LogMeIn sier at det tilbyr oppdateringer til mange produkter som var basert på OpenSSL;
• HP applikasjonsservere  ;
• McAfee  ;
• VMware-serien.

Online spilltjenester som Steam , Minecraft , League of Legends , GOG.com , Origin Systems , Secret of Evermore , Humble Bundle og Path of Exile er også berørt.

Operativsystemer

• Android 4.1.1 ( Jelly Bean ), brukt i mange smarttelefoner
• Firmware for Cisco Systems- ruteren
• Juniper Networks router firmware
• Fastvare for Western Digital- harddisker fra "My Cloud" -produktlinjen (integrering av en lagringsløsning i Cloud Computing)

Merknader og referanser

• (fr) Denne artikkelen er helt eller delvis hentet fra Wikipedia-artikkelen på engelsk med tittelen "  Heartbleed  " ( se listen over forfattere ) .

1. (i) "  En halv million Mye pålitelige nettsteder sårbare for heartbleed bug  " ( Arkiv • wikiwix • Archive.is • Google • Hva må gjøres? ) (Besøkt 08.06.2017 ) , Netcraft 8. april 2014.
2. (no) "  Mann som innførte alvorlig" Heartbleed "sikkerhetsfeil benekter at han satte den inn bevisst  " , Sydney Morning Herald ,11. april 2014.
3. "  Møt mannen som skapte den feilen som nesten brøt Internet  ", Globe and Mail ,11. april 2014( les online ).
4. "  # 2658: [PATCH] Add TLS / DTLS Heartbeats  " , OpenSSL ,2011.
5. (in) Codenomicon Ltd. , "  heartbleed Bug  " ,8. april 2014(åpnet 8. april 2014 ) .
6. (i) Dan Goodin , "  Kritisk bug i OpenSSL-krypto åpner to tredjedeler av nettet for å avlytte  " , Ars Technica ,8. april 2014(åpnet 8. april 2014 ) .
7. Bug information site - heartbleed.com , 12. april 2014.
8. Første feilinformasjons-e-post , 6. april 2014, OpenSSL-arkivside.
9. “  Hva vet vi om" Heartbleed ", det forstyrrende sikkerhetsbruddet på Internett?  ", Le Monde ,9. april 2014( les online , konsultert 11. april 2014 ).
10. (no-US) “  Gruppe støttet av Google, Microsoft for å hjelpe til med å finansiere OpenSSL og andre åpne kildekodeprosjekter  ” , Threatpost | Det første stoppet for sikkerhetsnyheter ,24. april 2014( les online , konsultert 16. mai 2017 )
11. "  Heartbleed: Net Giants Rescue Key Open Source Projects  ", Silicon ,24. april 2014( les online , konsultert 16. mai 2017 )
12. Nicole Perlroth , "  Companies Back Initiative for å støtte OpenSSL og andre open source-prosjekter  " på Bits Blog (åpnet 16. mai 2017 )
13. (en-US) Sean Gallagher, "  Heartbleed sårbarhet kan ha blitt utnyttet måneder før patch [Oppdatert]  " , Ars Technica ,9. april 2014( les online , konsultert 24. januar 2018 )
14. (in) Peter Eckersley , "  Wild at Heart: Were Intelligence Agencies Using heartbleed i november 2013?  " , Electronic Frontier Foundation ,10. april 2014( les online , konsultert 24. januar 2018 )
15. (i) Jordan Robertson, "  Millions of Android Devices Vulnerable to heartbleed Bug  " på Bloomberg ,12. april 2014(åpnet 13. april 2014 ) .
16. (i) Nick Sullivan, "  Svar på det kritiske spørsmålet: Kan du få private SSL-nøkler ved hjelp av hjertelig?  » , På CloudFlare ,11. april 2014(åpnet 12. april 2014 ) .
17. (in) "  The heartbleed Challenge  " ( Arkiv • Wikiwix • Archive.is • Google • Hva skal jeg gjøre? ) , On CloudFlare .
18. (i) Michael Riley, "  NSA Said to Exploit Bug hearteded for Intelligence in Years  " på Bloomberg ,12. april 2014(åpnet 12. april 2014 ) .
19. (in) ODNI Public Affairs Office, "  IC on the record  " , på kontoret til direktøren for nasjonal etterretning, Tumblr ,11. april 2014(åpnet 12. april 2014 ) .
20. "  Heartbleed: forvent treghet på Internett  " , på Le Figaro ,16. april 2014(åpnet 16. april 2014 ) .
21. " Vanlige spørsmål om  Heartbleed: Akamai Systems Patch  ", Akamai Technologies ,8. april 2014( les online ).
22. "  AWS-tjenester oppdatert for å adressere OpenSSL-sårbarhet  ", Amazon Web Services ,8. april 2014( les online ).
23. "  Kjære lesere, kan du endre Ars konto passord ASAP  ", Ars Technica ,8. april 2014( les online ).
24. "  Alle Heartbleed-oppgraderinger er nå fullført  ", BitBucket Blog ,9. april 2014( les online ).
25. "  Holde din BrandVerity-konto trygg fra Heartbleed Bug  ", BrandVerity Blog ,9. april 2014( les online ).
26. "  Twitter / freenodestaff: vi har måttet starte en haug på nytt ...  " ,8. april 2014.
27. "  Sikkerhet: Heartbleed sårbarhet  ", GitHub ,8. april 2014( les online ).
28. "  IFTTT sier at det er" ikke lenger sårbart "for Heartbleed  ", LifeHacker ,8. april 2014( les online ).
29. "  Heartbleed bug and the Archive | Internet Archive Blogs  ” , Blog.archive.org ,9. april 2014(åpnet 14. april 2014 ) .
30. "  Twitter / KrisJelbring: Hvis du er logget på noen av  " , Twitter.com ,8. april 2014(åpnet 14. april 2014 ) .
31. Leo Kelion , "  BBC News - Heartbleed hacks hit Mumsnet and Canadas skattebyrå  " , BBC News ,14. april 2014.
32. (in) "  Den utbredte 'heartbleed' bug av OpenSSL er lappet i peerj  " , peerj ,9. april 2014( les online ).
33. “  Ble Pinterest påvirket av Heartbleed-problemet?  » , Hjelpesenter , Pinterest (åpnet 20. april 2014 ) .
34. “  Heartbleed Defeated  ” ( Arkiv • Wikiwix • Archive.is • Google • Hva skal jeg gjøre? ) (Tilgang til 13. april 2014 ) .
35. Ansatte, "  Vi anbefaler at du endrer reddit-passordet ditt  " , Reddit ,14. april 2014(åpnet 14. april 2014 ) .
36. "  VIKTIGE MEDDELELSER FRA MAKERS OF CHILI  " (åpnet 13. april 2014 ) .
37. Brendan Codey , “  Sikkerhetsoppdatering: Vi kommer til å logge ut alle i dag, her er hvorfor  ”, SoundCloud ,9. april 2014( les online ).
38. "ctsai", "  SourceForge svar på Heartbleed  ", SourceForge ,10. april 2014( les online ).
39. "  Heartbleed  ", SparkFun ,9. april 2014( les online ).
40. "  Heartbleed  ", Stripe (selskap) ,9. april 2014( les online , konsultert 10. april 2014 ).
41. "  Tumblr Staff-Urgent security update  " ,8. april 2014(åpnet 9. april 2014 ) .
42. Alex Hern , “  Heartbleed: ikke haste med å oppdatere passord, advarer sikkerhetseksperter,  ” The Guardian ,9. april 2014( les online ).
43. Greg Grossmeier , "  Wikimedia svar til" heartbleed "sikkerhetsproblem  " , Wikimedia Foundation blogg , Wikimedia Foundation ,10. april 2014(åpnet 10. april 2014 ) .
44. "  Wunderlist & the Heartbleed OpenSSL Sårbarhet  " ,10. april 2014.
45. (in) IPCop , "  IPCop 2.1.4 er utgitt  " , SourceForge elektroniske adresselister ,8. april 2014(åpnet 11. april 2014 ) .
46. (in) italovignoli, "  LibreOffice 4.2.3 er nå tilgjengelig for nedlasting  " [ arkiv12. april 2014] , på The Document Foundation ,10. april 2014(åpnet 11. april 2014 ) .
47. "  LogMeIn og OpenSSL  ", LogMeIn ,9. april 2014( les online , konsultert 25. april 2014 ).
48. "  HP Servers Communication: OpenSSL" HeartBleed "Sårbarhet  " ( Arkiv • Wikiwix • Archive.is • Google • Hva skal jeg gjøre? ) ,18. april 2014.
49. "  McAfee Security Bulletin - OpenSSL Heartbleed-sårbarhet lappet i McAfee-produkter  " , på McAfee KnowledgeBase , McAfee ,17. april 2014.
50. "  Svar på OpenSSL-sikkerhetsproblem CVE-2014-0160 / CVE-2014-0346 aka:" Heartbleed "  " , VMware, Inc (åpnet 17. april 2014 ) .
51. Paul Younger, “  PC-spilltjenester påvirket av Heartbleed og handlinger du trenger å ta  ” ( Arkiv • Wikiwix • Archive.is • Google • Que faire? ) , IncGamers ,11. april 2014.
52. (i) "  heartbleed: Android 4.1.1 Jelly Bean kan være gravement berørt  " , BGR Media ,16. april 2014.
53. Alexis Kleinman , “  The Heartbleed Bug blir enda dypere enn vi innså - her er hva du bør gjøre,  ” The Huffington Post ,11. april 2014( les online ).
54. (i) Danny Yadron , "  heartbleed Bug Found in Cisco Routers, Juniper Gear  " ( Arkiv • Wikiwix • Archive.is • Google • Hva skal jeg gjøre? ) , Dow Jones & Company, Inc. ,10. april 2014.
55. (in) "  Cisco Security Advisory: Sårbarhet i OpenSSL Heartbeat Extension Multiple Cisco Products  " ( Arkiv • Wikiwix • Archive.is • Google • Hva skal jeg gjøre? ) , Cisco ,9. april 2014.
56. (in) "  2014-04 Out of Cycle Security Bulletin: Flere produkter berørt av OpenSSL" heartbleed "-problemet (CVE-2014-0160)  " , Juniper Networks ,14. april 2014.
57. (in) "  heartbleed Bug Issue  " , Western Digital ,10. april 2014( les online ).

Vedlegg

Relaterte artikler

• Digital spor
• Personvern og IT

Eksterne linker

• Engelsk informasjonsside om feilen
• Fransk informasjonsside om feilen