Interneta lietotāji visā pasaulē brīdināti par vienu no pēdējā laikā bīstamākajām ievainojamībām, kuras dēļ iespējams attālināti iegūt sensitīvu vai aizsargājamu lietotāju informāciju.
Būtisks brīdinājums visiem interneta lietotājiem (220)
Arī «CERT.lv» pārstāvji izplatījuši brīdinājumu, ziņojot, ka šonedēļ atklāta viena no pēdējā laika bīstamākajām ievainojamībām «OpenSSL 1.0.1. TLS/DTLS», kas plašāk pazīstama kā «ssl hearbeat» vai «heartbleed bug».
Ievainojamība ļauj nesankcionēti iegūt sensitīvus datus no servera, kas izmanto ievainojamu «OpenSSL pakotni», kas normālā situācijā būtu pasargāta pārsūtīšanas brīdī ar «SSL/TLS» (šifrēšanas protokols, kuru izmanto, lai šifrētu datortīklos pārsūtīto informāciju).
Izmantojot ievainojamību, iespējams attālināti no servera iegūt lietotāju paroles un lietotājvārdus, transakciju datus, kriptogrāfiskās atslēgas, konfigurācijas detaļas, e-pasta sistēmas lietotāju datus un citu sensitīvu vai aizsargājamu informāciju, kuras noplūde var sekmēt ne tikai informācijas sistēmas kompromitēšanu, bet visu informācijas sistēmas lietotāju datu un elektroniskās identitātes kompromitēšanu.
Apdraudētas var būt tīmekļa vietnes, kas lieto «https://», pasta sistēmas, VPN vārtejas, kā arī citi risinājumi, kas izmanto «OpenSSL».
Ievainojamībai pakļautas «OpenSSL» versijas no 1.0.1 līdz 1.0.1f .
Speciālisti iesaka, ka nepieciešams uzstādīt «OpenSSL» 1.0.1g versiju, kurā ievainojamība ir novērsta. Pēc tam jānomaina visas ar ievainojamu «OpenSSL» versiju ģenerētās atslēgas. Lai pārbaudītu vai Jūsu serviss ir ievainojams, iesakām apmeklēt tīmekļa vietni: http://possible.lv/tools/hb/.
CERT.LV ir apzinājis Latvijā ievainojamos interneta resursus - vismaz 1300 vietnes un strādā pie šo resursu turētāju informēšanas un problēmas risināšanas.