Açıklar, buffer açıkları olarak gerçekleşti. Bu açıkları kullanarak sisteme sızacak kişi, sistemde kendi kodlarını çalıştırabiliyor. CERT 0.9.6e’dan başlayan, 0.9.7-beta2 ve 0.9.7-beta2 versiyonlarını da içeren tüm OpenSSL versiyonlarının Kerberos-enabled SSLeay library nedeniyle kontrol edilmesi gerektiğini belirtiyor.
SSL ve TLS protokolleri müşteri ile sunucu arasında HTTP ve daha üst seviye protokoller için güvenli bağlantı kurmak yönelik kullanılıyor.
SSL Netscape tarafından geliştirildi. Daha sonra Microsoft da dakil tüm diğer internet müşteri/sunucu geliştiriciler tarafından kabul görerek, TLS şeklinde gelişene kadar tek standart haline geldi. OpenSSL ise SSL ve TLS’nin açık kaynak kodlu türevi. Ama diğer ikisinden bir farkı var. Kriptoloji library fonksiyonu da var.
Açıklar güvenlik şirketlerinden bir tanesinin uyarı yayınlamasına neden oldu; Vigilinx’ten CEO Bruce Murphy “SSL kullanan sunucu sayısının fazlalığı nedeniyle bu açıklar önemli sorunlar yaratabilir. Bu noktada bu açıklardan kaynaklanan bir zarar duymadık ama zarar oluşma potansiyeli çok fazla” dedi.
CERT bu açıklardan etkilenenlerin sunucularını acilen OpenSSOL 0.9.6e’ye yükseltmelerini tavsiye ediyor. Bu açıklar için OpenSSL.org‘dan bilgi alınabilir ve gerekli yama patch adresinden yüklenebilir.
OpenSSL 0.9.7-beta2 kullananların 0.9.7-beta3’e geçmesi öneriliyor. Beta2 için yama burayı tıklayarak yüklenebilir.
İster yama olsun, isterse upgrade CERT tüm uygulamaların yeniden compile edilmelerini ve sistemin yeniden başlatılmasını tavsiye ediyor.
Hataları CERT’e VU#102795 olarak A.L. Digital Ltd ve neohapsis’ten John McDonald, VU#258555, VU#561275 ve VU#308891 A.L. Digital Ltd ve VU#748355 Adi Stav ve James Yonan tarafından ayrı ayrı bildirildi.
Kaynak : 