2 gündür haberini yazdığımız [1], [2] Heartbleed açığı, son zamanlarda karşımıza çıkan en önemli güvenlik açıklarından birisi gibi duruyor. Firmalar bu konuda çeşitli açıklamalar yaparak OpenSSL sistemlerinde güncelleme yaptıklarını duyurmaktalar. Bu açıklamalardan birisi de Cisco’dan gelirken ağ ekipmanları firması, toplam 11 ürününün ve 2 servisinin OpenSSL’in Heartbleed açığından etkilenebileceğini duyurdu. Bu konuda bir güvenlik bülteni yayınlayan Cisco, servislerde gerekli güncellemeyi yaptıklarını açıklıyor.
Açık kaynaklı kriptografik yazılım kütüphanesi OpenSSL’de geçtiğimiz günlerde çok ciddi bir güvenlik açığı tespit edildi. Hearthbleed bug adı verilen güvenlik açığı, OpenSSL 1.0.1 sürümünün g versiyonuna dek olan sürümleri kapsıyor ve saldırganların istedikleri bilgisayara ve networke rahatlıkla sızarak X.509 sertifikaları, kullanıcı adları, şifreler, anlık mesajlar, e-postalar, kritik iş belgelerini çalmasına olanak sağlıyor. OpenSSL konuyla ilgili yama hazırlamış durumda. Araştırmacılar şimdiye dek bu açıktan etkilenebilecek olan web sunucuları üzerine yorumlar yapıyordu ama şimdi Cisco, 2 servisinin yanı sıra 11 farklı ürünün de bu açıktan etkilenebileceğini duyurdu.
Ağ ekipmanları firmasından yapılan açıklamada Cisco Registered Envelope Service (CRES) ve Webex Messenger Service hizmetlerinin Heartbleed açığından etkilenebileceğinin keşfedildiği ve gerekli güvenlik güncellemelerinin derhal yapıldığı vurgulanıyor. Bununla birlikte şirketin ağ donanımları için sunduğu Cisco IOS XE işletim sisteminin de açıktan etkilenebilecek olması ve toplam 11 farklı üründe güvenlik sorunu oluşabileceğinin tespit edilmesi endişe verici. Cisco’nun güvenlik bülteninde açıkladığı ve Heartbleed açığından etkilenebilecek olan Cisco ürünleri şunlar:
- Cisco AnyConnect Secure Mobility Client for iOS
- Cisco Desktop Collaboration Experience DX650
- Cisco Unified 7800 series IP Phones
- Cisco Unified 8961 IP Phone
- Cisco Unified 9951 IP Phone
- Cisco Unified 9971 IP Phone
- Cisco TelePresence Video Communication Server (VCS)
- Cisco IOS XE
- Cisco UCS B-Series (Blade) Servers
- Cisco UCS C-Series (Stand alone Rack) Servers
- Cisco Unified Communication Manager (UCM) 10.0
- Cisco Registered Envelope Service (CRES)
- Cisco Webex Messenger Service
Cisco yaptığı açıklamada listenin henüz son halini almadığını ve 60 farklı üründe testlerin devam ettiğini duyuruyor. Bu ürünleri kullanan firmaların hem Cisco ile hem de ürün dağıtıcılarıyla temasa geçmesi ve güvenlik bültenlerini dikkatli bir biçimde takip etmeleri kritik öneme sahip. Firma bu konuda düzenli bildirimlerde bulunacağı açıklamasını yapıyor.
[1] İnternet’te Ciddi Sorun ; OpenSSL Açığı Keşfedildi