פריצה בתעודות דיגטליות

[OrPol]

ציטוט:

נכתב במקור על ידי Rhost

כל מי שיודע או לא יודע לפני שבועיים התגלה פריצה חמורה בתעודות דיגטליות
שמאפשר לראות את כל התעבורה ב clear text
פה תוכלו לראות את ההסבר על הפריצה:
http://heartbleed.com

כדי לוודא שהפריצה לא קיימת אצלכם בתעודה דיגיטלית תוכלו לבדוק אותה באתר הבא:
https://www.ssllabs.com/ssltest/index.html

במידה וקיימת אצלכם הפריצה אתם צריכים הנפקה חוזרת של תעודה דיגיטלית
רצוי שתפנו לספק מאיפה שהזמנתם את התעודה ויסבירו לכם איך לעשות את זה.

בוא לא נגזים.
א' - הפירצה היא לא ב'תעודה' אלא במימוש של openssl בגרסאות ספציפיות (אם אני זוכר נכון 1.0.1a עד f כולל)
ב' - אתה לא מקבל 'את כל התעבורה בclear text' אלא buffer בגודל עד 64 קילו מהזכרון של השרת. סטטיסטית, יש שם דברים 'מעניינים' כמו בקשות שהגיעו ממשתמשים בclear text.

חבל לעורר פאניקה.

לגבי ההמלצה שלך - מסכים, שווה לבדוק האם השרת בו עושים שימוש פגיע לחולשה ואם כן, קודם כל לסגור אותה ע'י עדכון של ספריית openssl וapache או שירותים נוספים במידת הצורך.

בברכה,