Heartbleed

A Wikipédiából, a szabad enciklopédiából
Ugrás a navigációhoz Ugrás a kereséshez
A heartbleed hiba logója

A Heartbleed egy biztonsági hiba az OpenSSL nevű nyílt forráskódú kriptográfiai szoftverben, amely széles körben használt internetes szolgáltatások biztosításához. A hibás verziók lehetővé teszik mind a kliens, mind pedig a szerver sebezhetőségét.[1]

A heartbleed hibát egy bemeneti adat ellenőrzésének hiánya okozza a TLS heartbeat kiegészítésében, innen származik a hiba neve. A hiba típusa buffer-overread, azaz a kérő több adatot olvas, mint amennyi elérhető.[2]

Az OpenSSL javított kiadása 2014 április 7-én jelent meg, ugyanezen a napon jelentették be a hiba létezését. Ekkor a webszerverek 17 százaléka, mintegy félmillió weboldal volt sebezhető, amely lehetővé tette a szerver titkos kulcsok és jelszavak ellopását.

Története[szerkesztés]

A TLS heartbeat kiegészítését 2012 februárjában az RFC 6520 dokumentumban terjesztették elő szabványnak.[3] Ez lehetővé teszi, hogy egy biztonságos kapcsolatot életben tartson a két fél anélkül, hogy a biztonsági adatokat újratárgyalnák minden alkalommal.

2011-ben az RFC egyik írója, Robin Seggelmann, aki akkor Duisburg-Essen-i Egyetem Ph.D. hallgatója megírta a heartbeat kiegészítést az OpenSSL-hez.

Hatása[szerkesztés]

Példa:

- Mondj „minibrot”-ot (8 karakter).

- minibrot

Mondj „irreális”-t (150 karakter).

- Irreális. Márton kéri a „Multibrotok, és egyéb fraktálok” című könyvet. Erhard kéri a „Transzcendens egyenletek megoldása de egyszerűen” című könyvet.

Jegyzetek[szerkesztés]

  1. Cyberoam Security Advisory - Heartbleed Vulnerability in OpenSSL, 2014. április 11.
  2. Cyberoam Security Advisory - Heartbleed Vulnerability in OpenSSL, 2014. április 11.
  3. Seggelmann, R. et al.: Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension. RFC 6520. Internet Engineering Task Force (IETF), 2012. február 1. (Hozzáférés: 2014. április 8.)