احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

آسیب پذیری Open SSL Heartbleat چیست؟

این آسیب پذیری که عموما با عنوان Heartbleed شناخته می‌شود، این امکان را به مهاجم می دهد که در هر نوبت از حملات بتواند 60K اطلاعات را از مموری سرور قربانی به سرقت ببرد و تا کنون توانسته است بر روی محصولات زیر، اثر مخرب بگذارد:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. راه حل مقابله با HeartBleed
FortiGate (FortiOS) 5.0.0 up to 5.0.6
FortiAuthenticator 2.2 and 3.x
FortiMail 4.3.x and 5.x
FortiVoice models 200D, 200D-T and VM
FortiRecorder
FortiADC D-Series models 1500D, 2000D and 4000D
FortiADC E-Series 3.x
Coyote Point Equalizer GX / LX 10.x
FortiDDoS B-series
FortiDNS
AscenLink v7.0 and v7.1-B5599

راه حل مقابله با HeartBleed

در مورد محصول FortiGate، به عنوان قالب فایروال مورد استفاده کاربران، همانطور که در بالا قید شد، این آسیب پذیری در ورژن های 5.0.0 تا 5.0.6 این محصول مشاهده شده و در صورت گزارش چنین موردی بر روی فایروال باید نسخه ورژن آن را به 5.0.7 آپدیت نمود. در این نسخه مشکل مربوط به این آسیب پذیری برطرف شده است.همچنین ورژن های 4.3 به پایین این محصول تحت تاثیر این آسیب پذیری قرار نمی‌گیرند و در صورت استفاده از چنین ورژن هایی نگران آسیب های ناشی از Heartbleed نباشید.

در مورد محصول FortiAuthenticator هم نسخه v3.0 آن متاثر از این آسیب پذیری است و باید آن را به نسخه 3.0.2 آپدیت نمود. این آپدیت در بخش پشتیبانی سایت Fortinet موجود است.در مورد محصول FortiNet، تاکنون گزارشی در اینترنت مبنی بر آسیب پذیر بودن آن در برابر Heartbleed منتشر نشده و نگرانی از این بابت وجود ندارد.همچنین از طریق URL زیر میتوان بصورت آنلاین از آلوده بودن وب سرور (HTTPS) خود آگاه شد.

https://lastpass.com/heartbleed

نویسنده : احسان امجدی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات