باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود.
این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید هرچه سریع تر بروزرسانی را انجام دهید.
جهت آزمایش و اطلاع از آسیبپذیر بودن سرور شما دربرابر این مشکل امنیتی اینجا کلیک کنید.
سیستمعامل های زیر نسبت به این مشکل امنیتی آسیبپذیر می باشند :
Debian Wheezy (stable) OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5 OpenSSL 1.0.1e-15
Fedora 18 OpenSSL 1.0.1e-4
OpenBSD 5.3 OpenSSL 1.0.1c 10 May 2012 and OpenBSD 5.4 OpenSSL 1.0.1c 10 May 2012
FreeBSD 8.4 OpenSSL 1.0.1e and FreeBSD 9.1 OpenSSL 1.0.1c
NetBSD 5.0.2 OpenSSL 1.0.1e
OpenSUSE 12.2 OpenSSL 1.0.1c
این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 04-07-2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.
برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
برای سیستم عامل CentOS :
روش اول :
۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
۳- سپس نصب نمایید.
cd /usr/src
#wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
#tar -xvzf openssl-1.0.1g.tar.gz # cd openssl-1.0.1g/
#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install
روش دوم :
#yum clean all
#yum update openssl
بعد از انجام این تغییرات وبسرور خود و سایر سرویس هایی که از OpenSSL استفاده میکنند را ریستارت کنید تا تغییرات اعمال گردد. البته بهتر است سرور خود را کامل ریبوت کنید.
پس از اعمال تغییرات مجدداً به وب سایتی که جهت تست سرور معرفی شد رفته و وضعیت سرور خود را چک کنید.
برای تست این باگ از سایتهای زیر استفاده نمایید
http://amn.bayan.ir
http://filippo.io/Heartbleed