۱۹ اسفند ۱۳۹۳ - ۱۹:۲۰
کد خبر: ۱۲۶۲۱
کارشناسان نکاتی را درباره شناسایی آسیب پذیری FREAK به کاربران توصیه می‌کنند.
به گزارش پایگاه اطلاع رسانی پایداری ملی، تعداد بسیار بالایی از سایت‌ها در دنیا و در ایران دارای آسیب پذیری FREAK  هستند بنابراین لازم است هرچه سریع تر نسبت به رفع آن اقدام شود. 

آسیب پذیری جدید SSL/TLS موسوم به حمله FREAK (CVE ۲۰۱۵-۰۲۰۴) در سوم مارس 2015 شناسایی شد که به مهاجم امکان می‌دهد بین ارتباط HTTPS کاربران و سرورهای آسیب پذیر قرار گیرد و آنها را مجبور به استفاده از رمزنگاری ضعیف‌تر کند که درنتیجه این اتفاق اطلاعات حساس دستکاری یا دزدیده خواهد شد. 

علاوه بر سرورهای آسیب پذیر، Akamai نیز میزبان تعداد بسیار بالای از سایت‌های آسیب پذیر بوده است ازجمله facebook و FBI که این وب سایت‌ها بی درنگ نسبت  اقدام به رفع آن کردند. 

نسخه‌های کتابخانه‌های TLS client شامل نسخه‌های OpenSSL (CVE-۲۰۱۵-۰۲۰۴) قبل از ۱.۰.۱k،نسخه‌های BoringSSL قبل از ۱۰ نوامبر ۲۰۱۴، نسخه‌های Mono قبل از ۳.۱۲.۱ و نسخه‌های LibReSSL قبل از ۲.۱.۲ جزو نسخه‌های آسیب پذیر هستند. همچنین SecureTransport، SChannel و IBM JSSE آسیب پذیر بوده و راه حل آنها در حال بررسی است.
 
مرورگرهای وب که از این کتابخانه های TLS استفاده می‌کنند نیز آسیب پذیر هستند؛ از جمله نسخه‌های Chrome قبل از ۴۱که  آسیب پذیر  باید آن را به Chrome ۴۱ به‌روزرسانی کرد، Internet Explorer،Blackberry Browser و Safari که وصله رفع آسیب پذیری آنها به زودی منتشر می‌شود، Android Browser که باید به Chrome ۴۱ به‌روزرسانی شود، Opera که روی Mac و Android آسیب پذیر است و باید به Opera ۲۸ به‌روزرسانی شود. 

دیگر برنامه‌های کاربردی client مانند email که از کتابخانه‌های TLS آسیب پذیر استفاده می‌کنند نیز در معرض این آسیب پذیر قرار دارند. 

کاربران می‌توانند برای شناسایی آسیب پذیر بودن وب سایت خود به نشانی‌های  https://tools.keycdn.com/freak  و https://www.ssllabs.com/ssltest/ مراجعه کنند.

کاربرانی که سرور دارند باید  فوراً پشتیبانی از کتابخانه‌های رمزنگاری TLS export را غیرفعال کنند. کاربران برای شناخت چگونگی امن سازی نرم افزار سرور HTTPS می‌توانند به راهنمای تنظیمات امنیتی موزیلا و تولید کننده تنظیمات SSL مراجعه کنند و برای تست تنظیمات و اطمینان از آسیب پذیر نبودن از لینک‌های نام‌برده در فوق استفاده کنند. 

در استفاده از مرورگرها نیز کاربران باید ابتدا اطمینان حاصل کنند که از آخرین نسخه‌های مرورگرها و به‎روزرسانی آن‌ها استفاده می‌کنند.

کاربرانی که مدیرسیستم یا توسعه‌دهنده هستند نیز باید از به‌روزرسانی نسخه‌های کتابخانه TLS‌ مورد استفاده اطمینان یابند.
گزارش خطا
ارسال نظرات
نام
ایمیل
نظر