Serveur minecraft

Heartbleed – Wikipedia – Monter un serveur MineCraft

Le 3 mai 2019 - 1 minute de lecture

Heartbleed
Heartbleed.svg "src =" http://upload.wikimedia.org/wikipedia/commons/thumb/d/dc/Heartbleed.svg/180px-Heartbleed.svg.png "décodage =" async "width =" 180 "height = "215" srcset = "// upload.wikimedia.org/wikipedia/commons/thumb/d/dc/Heartbleed.svg/270px-Heartbleed.svg.png 1.5x, //upload.wikimedia.org/wikipedia/commons /thumb/d/dc/Heartbleed.svg/360px-Heartbleed.svg.png 2x "data-file-width =" 567 "data-file-height =" 678 "/>

<div>Logo représentant Heartbleed. La société de sécurité Codenomicon a attribué à Heartbleed un nom et un logo, contribuant ainsi à sensibiliser le public à ce problème.<sup id=[1][2]
Identifiant (s) CVE CVE-2014-0160
Date découverte 1er avril 2014; il y a 5 ans (2014-04-01)
Date corrigée 7 avril 2014; il y a 5 ans (2014-04-07)
Découvreur Neel Mehta
Logiciel concerné OpenSSL (1.0.1)
Site Internet chagrin d'amour.com

Heartbleed est un bogue de sécurité dans la bibliothèque de cryptographie OpenSSL, qui est une implémentation largement utilisée du protocole TLS (Transport Layer Security). Il a été introduit dans le logiciel en 2012 et rendu public en avril 2014. Heartbleed peut être exploité, que l'instance OpenSSL vulnérable s'exécute en tant que serveur ou client TLS. Cela résulte d'une validation d'entrée incorrecte (due à une vérification des limites manquante) dans la mise en œuvre de l'extension de pulsation TLS.[3] Ainsi, le nom du bug provient de battement de coeur.[4] La vulnérabilité est classée en tant que mémoire tampon survolé,[5] une situation dans laquelle il est possible de lire plus de données que nécessaire.[6]

Heartbleed est enregistré dans la base de données Common Vulnerabilities and Exposures sous le numéro CVE-2014-0160.[5] Le Centre canadien de réponse aux incidents cybernétiques (fédéral) a publié un bulletin de sécurité pour informer les administrateurs système du bogue.[7] Une version corrigée d'OpenSSL a été publiée le 7 avril 2014, le jour même où Heartbleed a été rendu public.[8]

Au 20 mai 2014, 1,5% des 800 000 sites Web les plus populaires activés par TLS étaient toujours vulnérables à Heartbleed.[9]

Les implémentations TLS autres qu'OpenSSL, telles que GnuTLS, les services de sécurité réseau de Mozilla et la plate-forme Windows de TLS, n'ont pas été affectées, car le défaut existait dans l'implémentation OpenSSL de TLS plutôt que dans le protocole lui-même.[10]

L'histoire[[[[modifier]

L'extension de pulsation pour les protocoles TLS (Transport Layer Security) et DTLS (Datagram Transport Layer Security) a été proposée comme norme en février 2012 par RFC 6520.[11] Il fournit un moyen de tester et de maintenir en vie des liaisons de communication sécurisées sans avoir à renégocier la connexion à chaque fois. En 2011, l'un des auteurs du RFC, Robin Seggelmann, alors Ph.D. étudiant à la Fachhochschule Münster, a implémenté l'extension Heartbeat Extension pour OpenSSL. Suite à la demande de Seggelmann de mettre le résultat de son travail dans OpenSSL,[12][13][14] Son changement a été examiné par Stephen N. Henson, l'un des quatre développeurs principaux d'OpenSSL. Henson n'a pas remarqué de bogue dans l'implémentation de Seggelmann et a introduit le code défectueux dans le référentiel de code source d'OpenSSL le 31 décembre 2011. Le défaut s'est propagé avec la publication de la version 1.0.1 d'OpenSSL le 14 mars 2012. La prise en charge des pulsations a été activée par défaut. , ce qui rend les versions affectées vulnérables.[15][16][17]

Découverte[[[[modifier]

Selon Mark J. Cox d'OpenSSL, Neel Mehta de l'équipe de sécurité de Google a secrètement rapporté Heartbleed le 1er avril 2014 à 11h09 UTC.[18]

Le bug a été nommé par un ingénieur de Codenomicon, une société finlandaise de cyber-sécurité qui a également créé le logo de cœur saignant et lancé le domaine. chagrin d'amour.com expliquer le bug au public.[19] Bien que l'équipe de sécurité de Google ait signalé Heartbleed à OpenSSL pour la première fois, Google et Codenomicon l'ont découvert indépendamment à peu près au même moment.[20][15][21] Codenomicon indique le 3 avril 2014 comme date de découverte et date de notification du NCSC-FI pour la coordination de la vulnérabilité.[15][22]

Au moment de la divulgation, environ 17% (environ un demi-million) des serveurs Web sécurisés sur Internet certifiés par des autorités de confiance étaient considérés comme vulnérables à l'attaque, ce qui permettait le vol des clés privées des serveurs ainsi que des cookies et des mots de passe de session des utilisateurs.[23][24][25][26][27] Electronic Frontier Foundation,[28]Ars Technica,[29] et Bruce Schneier[30] tous ont jugé le bogue Heartbleed "catastrophique". Forbes Le chroniqueur en cybersécurité Joseph Steinberg a écrit:

Certains pourraient soutenir que Heartbleed est la pire vulnérabilité constatée (du moins en ce qui concerne son impact potentiel) depuis que le trafic commercial a commencé à circuler sur Internet.[31]

Un porte-parole du cabinet britannique a recommandé que:

Les gens devraient prendre conseil sur la modification des mots de passe depuis les sites Web qu’ils utilisent.

La plupart des sites Web ont corrigé le bogue et sont les mieux placés pour indiquer les actions à prendre, le cas échéant.[32]

Le jour de la divulgation, le projet Tor a conseillé:

Si vous avez besoin d'un anonymat fort ou de la vie privée sur Internet, vous voudrez peut-être vous écarter complètement d'Internet pendant les prochains jours, le temps que les choses se règlent.[33]

Le Sydney Morning Herald a publié une chronologie de la découverte le 15 avril 2014, montrant que certaines organisations avaient été en mesure de corriger le bogue avant sa divulgation publique. Dans certains cas, on ne sait pas comment ils ont découvert.[34]

Correction de bug et déploiement[[[[modifier]

Bodo Moeller et Adam Langley de Google ont préparé le correctif pour Heartbleed. Le correctif résultant a été ajouté à l'outil de suivi des problèmes de Red Hat le 21 mars 2014.[35] Stephen N. Henson a appliqué le correctif au système de contrôle de version d'OpenSSL le 7 avril.[36] La première version corrigée, 1.0.1g, a été publiée le même jour. Au 21 juin 2014, 309 197 serveurs Web publics sont restés vulnérables.[37]

Renouvellement et révocation du certificat[[[[modifier]

Selon Netcraft, environ 11 000 des plus de 500 000 certificats X.509 qui auraient pu être compromis en raison de Heartbleed avaient été réémis le 11 avril 2014, bien que moins aient été annulés.[38]

Au 9 mai 2014, seuls 43% des sites Web concernés avaient réémis leurs certificats de sécurité. En outre, 7% des certificats de sécurité réémis utilisaient les clés potentiellement compromises. Netcraft a déclaré:

En réutilisant la même clé privée, un site affecté par le bogue Heartbleed fait toujours face aux mêmes risques que ceux qui n'ont pas encore remplacé leurs certificats SSL.[39]

eWeek a dit: "[Heartbleed is] susceptible de rester un risque pendant des mois, voire des années, à venir ".[40]

Exploitation[[[[modifier]

L'Agence du revenu du Canada a signalé un vol de numéros d'assurance sociale appartenant à 900 contribuables et a indiqué qu'ils avaient été consultés via un exploit du virus pendant une période de 6 heures le 8 avril 2014.[41] Après la découverte de l'attaque, l'agence a fermé son site Web et prolongé la date limite de dépôt des déclarations de revenus des contribuables du 30 avril au 5 mai.[42] L'agence a déclaré qu'elle fournirait des services de protection de crédit sans frais à quiconque serait affecté. Le 16 avril, la GRC a annoncé qu'elle avait accusé un étudiant en informatique d'avoir commis un vol avec utilisation non autorisée d'un ordinateur et méfait par rapport aux données.[43][44]

Le site parent britannique, Mumsnet, a détourné plusieurs comptes d'utilisateurs et son PDG a été imité.[45] Le site a par la suite publié une explication de l'incident selon lequel il était dû à Heartbleed et le personnel technique l'a corrigé rapidement.[46]

Les chercheurs anti-malware ont également exploité Heartbleed à leur avantage pour accéder à des forums secrets utilisés par des cybercriminels.[47] Des études ont également été menées en installant délibérément des machines vulnérables. Par exemple, le 12 avril 2014, au moins deux chercheurs indépendants ont pu voler des clés privées à un serveur expérimental créé intentionnellement à cette fin par CloudFlare.[48][49] En outre, le 15 avril 2014, J. Alex Halderman, professeur à l'Université du Michigan, a annoncé que son serveur honeypot, un serveur intentionnellement vulnérable conçu pour attirer des attaques afin de les étudier, avait reçu de nombreuses attaques en provenance de Chine. Halderman a conclu que, du fait qu’il s’agissait d’un serveur assez obscur, ces attaques étaient probablement généralisées et concernaient de vastes zones de l’Internet.[50]

En août 2014, il a été annoncé que la vulnérabilité Heartbleed permettait aux pirates informatiques de voler les clés de sécurité de Community Health Systems, la deuxième plus grande chaîne hospitalière américaine à but lucratif aux États-Unis, compromettant ainsi la confidentialité de 4,5 millions de dossiers de patients. La brèche s'est produite une semaine après que Heartbleed ait été rendu public.[51]

Connaissance préalable possible et exploitation[[[[modifier]

De nombreux sites Web importants ont corrigé le bogue ou désactivé l'extension Heartbeat quelques jours après son annonce.[52] mais il est difficile de savoir si des attaquants potentiels en ont été informés plus tôt et dans quelle mesure ils ont été exploités.[[[[citation requise]

D'après les recherches effectuées par les chercheurs dans les journaux d'audit, certains attaquants pourraient avoir exploité la faille pendant au moins cinq mois avant la découverte et l'annonce.[53][54] Errata Security a souligné qu’un programme non malveillant très répandu appelé Masscan, introduit six mois avant la divulgation de Heartbleed, met fin brusquement à la connexion en cours de poignée de main de la même manière que Heartbleed, générant les mêmes messages de journal de serveur, ajoutant: "Deux nouveaux éléments produisant les mêmes messages d'erreur peuvent sembler comme si les deux étaient corrélés, mais bien sûr, ils ne sont pas.[55]"

Selon Bloomberg News, deux sources d'initiés non identifiées l'ont informée que l'Agence nationale de sécurité des États-Unis était au courant de la faille depuis son apparition peu après son apparition, mais… au lieu de la signaler, la tenue secrète parmi d'autres vulnérabilités du jour zéro non signalées afin de: l'exploiter pour les propres fins de la NSA.[56][57][58] La NSA a nié cette affirmation,[59] tout comme Richard A. Clarke, membre du groupe national de contrôle du renseignement sur les technologies du renseignement et des communications, qui a examiné la politique de surveillance électronique des États-Unis; Le 11 avril 2014, il avait déclaré à Reuters que la NSA n'avait pas eu connaissance de Heartbleed.[60] L’allégation a incité le gouvernement américain à faire, pour la première fois, une déclaration publique sur sa politique de vulnérabilité du jour zéro, acceptant la recommandation du rapport de 2013 du groupe de révision qui avait affirmé "dans presque tous les cas, pour du code largement utilisé, dans l’intérêt national d’éliminer les vulnérabilités logicielles plutôt que de les utiliser pour la collecte de renseignements américains "et en déclarant que la décision de ne pas divulguer devrait passer de la NSA à la Maison Blanche.[61]

Comportement[[[[modifier]

Une représentation de Heartbleed.

La RFC 6520 Heartbeat Extension teste les liaisons de communication sécurisées TLS / DTLS en permettant à un ordinateur situé à une extrémité de la connexion d’envoyer une Demande de pulsation message, consistant en une charge utile, généralement une chaîne de texte, avec la longueur de la charge utile sous la forme d'un entier de 16 bits. L'ordinateur destinataire doit alors renvoyer exactement la même charge utile à l'expéditeur.[[[[citation requise]

Les versions concernées d'OpenSSL allouent un tampon de mémoire pour le message à renvoyer en fonction du champ de longueur du message demandeur, sans tenir compte de la taille réelle de la charge utile de ce message. En raison de cette vérification incorrecte des limites, le message renvoyé est constitué de la charge utile, éventuellement suivie de tout ce qui pourrait se trouver dans la mémoire tampon allouée.[[[[citation requise]

Heartbleed est donc exploité en envoyant à la partie vulnérable (généralement un serveur) une requête de pulsation cardiaque malformée contenant une petite charge utile et un champ de grande longueur afin d'obtenir la réponse de la victime, permettant ainsi aux attaquants de lire jusqu'à 64 kilo-octets de la mémoire de la victime. avoir déjà été utilisé par OpenSSL.[62] Lorsqu'une demande de pulsation peut demander à une partie de "renvoyer le mot" oiseau "de quatre lettres", une réponse de "oiseau" est renvoyée, une "demande Heartbleed" (une requête maléfique de pulsation) de "renvoyer les 500 lettres le mot 'oiseau' "ferait en sorte que la victime retourne" oiseau "suivi de 496 caractères ultérieurs que la victime aurait en mémoire active. Les attaquants pourraient ainsi recevoir des données sensibles, compromettant ainsi la confidentialité des communications de la victime. Bien que l'attaquant ait un certain contrôle sur la taille du bloc de mémoire divulgué, il n'a aucun contrôle sur son emplacement et ne peut donc pas choisir le contenu à révéler.[[[[citation requise]

Installations OpenSSL concernées[[[[modifier]

Les versions concernées d'OpenSSL sont OpenSSL 1.0.1 à 1.0.1f (inclus). Versions ultérieures (1.0.1g[63] et ultérieures) et les versions précédentes (branches 1.0.0 et antérieures) sont ne pas vulnérable.[64] Les installations des versions affectées sont vulnérables sauf si OpenSSL a été compilé avec -DOPENSSL_NO_HEARTBEATS.[65][66]

Programme et fonction vulnérable[[[[modifier]

Les fichiers sources du programme vulnérables sont t1_lib.c et d1_both.c et les fonctions vulnérables sont tls1_process_heartbeat () et dtls1_process_heartbeat ().[67][68]

Pièce[[[[modifier]

Le problème peut être résolu en ignorant les messages de demande de pulsation qui demandent plus de données que la charge utile dont ils ont besoin.

La version 1.0.1g d'OpenSSL ajoute des vérifications de limites pour empêcher la lecture excessive de la mémoire tampon. Par exemple, le test suivant a été introduit pour déterminer si une demande de pulsation cardiaque déclencherait Heartbleed; il élimine silencieusement les requêtes malveillantes.

si (1 + 2 + charge utile + 16 > s->s3->rrec.longueur) revenir 0; / * Jeter silencieusement par RFC 6520 sec. 4 * /

Le système de contrôle de version contient une liste complète des modifications.[36]

Les données obtenues lors d'une attaque Heartbleed peuvent inclure des échanges non cryptés entre les parties TLS susceptibles d'être confidentielles, y compris toute donnée post-formulaire dans les demandes des utilisateurs. De plus, les données confidentielles exposées pourraient inclure des secrets d’authentification, tels que des cookies de session et des mots de passe, susceptibles de permettre à des attaquants de se faire passer pour un utilisateur du service.[69]

Une attaque peut également révéler des clés privées de parties compromises,[15][17][70] ce qui permettrait aux attaquants de déchiffrer les communications (trafic stocké futur ou passé capturé via une écoute passive, sauf si un secret de transmission parfait est utilisé, auquel cas seul le trafic futur peut être déchiffré s'il est intercepté via des attaques de type "man-in-the-middle").[[[[citation requise]

Un attaquant ayant obtenu du matériel d'authentification peut usurper l'identité de son propriétaire après que la victime a appliqué la correction à Heartbleed, tant que le matériel est accepté (par exemple, jusqu'à ce que le mot de passe soit modifié ou que la clé privée soit révoquée). Heartbleed constitue donc une menace critique pour la confidentialité. Cependant, un attaquant qui se fait passer pour une victime peut également altérer les données. Indirectement, les conséquences de Heartbleed pourraient donc aller bien au-delà d’une violation de confidentialité pour de nombreux systèmes.[71]

Une enquête menée en avril 2014 auprès d'adultes américains a révélé que 60% avaient entendu parler de Heartbleed. Parmi les utilisateurs d'Internet, 39% avaient protégé leurs comptes en ligne, par exemple en changeant les mots de passe ou en supprimant des comptes; 29% pensaient que leurs informations personnelles étaient mises en péril à cause du virus Heartbleed; et 6% pensent que leurs informations personnelles ont été volées.[72]

Vulnérabilité côté client[[[[modifier]

Bien que le bogue ait reçu plus d’attention en raison de la menace qu’il représente pour les serveurs,[73] Les clients TLS utilisant les instances OpenSSL concernées sont également vulnérables. En ce que Le gardien donc doublé Reverse Heartbleed, des serveurs malveillants peuvent exploiter Heartbleed pour lire des données dans la mémoire d’un client vulnérable.[74] Steve Gibson, chercheur en sécurité, a déclaré à propos de Heartbleed que:

Il ne s'agit pas simplement d'une vulnérabilité côté serveur, mais également d'une vulnérabilité côté client, car le serveur, ou toute autre personne avec laquelle vous vous connectez, est aussi capable de vous demander de battre à tout jamais que de le lui demander.[75]

Les données volées peuvent contenir des noms d'utilisateur et des mots de passe.[76] Reverse Heartbleed a affecté des millions d'instances d'application.[74] Certaines des applications vulnérables sont répertoriées dans la section "Applications logicielles" ci-dessous.[[[[citation requise]

Systèmes spécifiques affectés[[[[modifier]

Cisco Systems a identifié 78 de ses produits comme étant vulnérables, notamment les systèmes de téléphonie IP et les systèmes de téléprésence (vidéoconférence).[77]

Sites Web et autres services en ligne[[[[modifier]

Une analyse publiée sur GitHub des sites Web les plus visités le 8 avril 2014 a révélé des vulnérabilités dans des sites tels que Yahoo !, Imgur, Stack Overflow, Slate et DuckDuckGo.[78][79] Dans les sites suivants, des services ont été affectés ou des annonces ont été recommandées pour que les utilisateurs mettent à jour les mots de passe en réponse au bogue:

Le gouvernement fédéral canadien a temporairement fermé les services en ligne de l'Agence du revenu du Canada (ARC) et de plusieurs ministères à cause de problèmes de sécurité liés au virus Heartbleed.[104][105] Une autre agence du gouvernement canadien, Statistique Canada, a vu ses serveurs compromis en raison du bogue et a également mis ses services temporairement hors ligne.[106]

Les responsables de plate-forme tels que Wikimedia Foundation ont conseillé à leurs utilisateurs de changer les mots de passe.[101]

Les serveurs de LastPass étaient vulnérables,[107] mais en raison du cryptage supplémentaire et du secret de transmission, les attaques potentielles n'ont pas pu exploiter ce bogue. Cependant, LastPass a recommandé aux utilisateurs de changer les mots de passe des sites Web vulnérables.[108]

Le projet Tor a recommandé aux opérateurs de relais Tor et aux opérateurs de services cachés de révoquer et de générer de nouvelles clés après avoir corrigé OpenSSL, mais a noté que les relais Tor utilisent deux jeux de clés et que la conception multi-sauts de Tor minimise l'impact de l'exploitation d'un seul relais.[33] Par la suite, 586 relais susceptibles de contracter la bactérie Heartbleed ont été mis hors ligne par mesure de précaution.[109][110][111][112]

Services liés au jeu, y compris Steam, Minecraft, Wargaming, League of Legends, GOG.com, Origin, Sony Online Entertainment, Humble Bundle et Chemin de l'exil ont été touchés et par la suite réparés.[113]

Applications de programme[[[[modifier]

Les applications logicielles vulnérables incluent:

  • Plusieurs applications serveur Hewlett-Packard, telles que HP System Management Homepage (SMH) pour Linux et Windows.[114]
  • Certaines versions de FileMaker 13[115]
  • LibreOffice 4.2.0 à 4.2.2 (corrigé dans 4.2.3)[116][117]
  • LogMeIn a affirmé avoir "mis à jour de nombreux produits et parties de nos services qui reposent sur OpenSSL".[118]
  • Plusieurs produits McAfee, en particulier certaines versions de logiciels fournissant une couverture antivirale pour Microsoft Exchange, des pare-feu logiciels et des passerelles de messagerie et de Web McAfee[119]
  • MySQL Workbench 6.1.4 et versions antérieures[120]
  • Oracle MySQL Connector / C 6.1.0-6.1.3 et Connector / ODBC 5.1.13, 5.2.5-5.2.6, 5.3.2[120]
  • Oracle Big Data Appliance (comprend Oracle Linux 6)[120]
  • Gestion de projet Primavera P6 Professional (comprend la gestion de portefeuille de projets Primavera P6 Enterprise)[120]
  • WinSCP (client FTP pour Windows) 5.5.2 et certaines versions antérieures (vulnérable uniquement avec FTP sur TLS / SSL, corrigé dans la version 5.5.3)[121]
  • Plusieurs produits VMware, y compris VMware ESXi 5.5, VMware Player 6.0, VMware Workstation 10 et la série de produits, d'émulateurs et de suites d'informatique en nuage Horizon[122]

Plusieurs autres applications Oracle Corporation ont été touchées.[120]

Système d'exploitation / firmware[[[[modifier]

Plusieurs distributions GNU / Linux ont été touchées, y compris Debian[123] (et des dérivés tels que Linux Mint et Ubuntu[124]) et Red Hat Enterprise Linux[125] (et dérivés tels que CentOS,[126]Oracle Linux 6[120] et Amazon Linux[127]), ainsi que les systèmes d’exploitation et les implémentations de microprogrammes suivants:

Services de test de vulnérabilité[[[[modifier]

Plusieurs services ont été mis à disposition pour tester si Heartbleed affecte un site donné. Cependant, de nombreux services ont été déclarés inefficaces pour détecter le bogue.[139] Les outils disponibles incluent:

  • Tripwire SecureScan[140]
  • AppCheck – analyse binaire statique, à partir de Codenomicon[141]
  • Pravail Security Analytics d'Arbor Network[142]
  • Outil de vérification Heartbleed de Norton Safeweb[143]
  • Outil de test Heartbleed par une entreprise européenne de sécurité informatique[144]
  • Test du Heartbleed réalisé par le cryptographe italien Filippo Valsorda[145]
  • Test de vulnérabilité Heartbleed par Cyberoam[146]
  • Critical Regarder en ligne gratuit testeur de Heartbleed[147]
  • Module de scanner Metasploit Heartbleed[148]
  • Heartbleed Server Scanner de Rehmann[149]
  • Lookout Mobile Security Heartbleed Detector, une application pour appareils Android qui détermine la version OpenSSL de l'appareil et indique si le signal de pulsation vulnérable est activé[150]
  • Checker Heartbleed hébergé par LastPass[151]
  • Scanner de gamme de réseau en ligne pour la vulnérabilité Heartbleed par Pentest-Tools.com[152]
  • Scanner hors ligne officiel Red Hat écrit en langage Python[153]
  • Test du serveur SSL de Qualys SSL Labs[154] qui recherche non seulement le bogue Heartbleed, mais peut également rechercher d'autres erreurs d'implémentation SSL / TLS.
  • Extensions de navigateur, telles que Chromebleed[155] et FoxBleed[156]
  • Diagnostic SSL[157]
  • CrowdStrike Heartbleed Scanner[158] – Analyse les routeurs, imprimantes et autres périphériques connectés à un réseau, y compris les sites Web intranet.[159]
  • Rapport de site Netcraft[160] – indique si la confidentialité d'un site Web pourrait être compromise en raison d'une exploitation antérieure de Heartbleed en vérifiant les données de SSL Survey de Netcraft afin de déterminer si un site offrait l'extension TLS Heartbeat avant la divulgation de Heartbleed. Les extensions Netcraft pour Chrome, Firefox et Opera[161] effectuez également cette vérification, tout en recherchant des certificats potentiellement compromis.[162]

D'autres outils de sécurité ont ajouté un support pour trouver ce bogue. Par exemple, Tenable Network Security a écrit un plug-in pour son scanner de vulnérabilités Nessus qui peut rechercher cette erreur.[163] Le scanner de sécurité Nmap comprend un script de détection Heartbleed à partir de la version 6.45.[164]

Sourcefire a publié des règles Snort pour détecter le trafic d’attaque Heartbleed et le trafic de réponse possible Heartbleed.[165] Les logiciels d'analyse de paquets open source tels que Wireshark et tcpdump peuvent identifier les paquets Heartbleed à l'aide de filtres de paquets BPF spécifiques pouvant être utilisés pour les captures de paquets stockées ou le trafic réel.[166]

Remédiation[[[[modifier]

La vulnérabilité à Heartbleed est résolue en mettant à jour OpenSSL vers une version corrigée (1.0.1g ou ultérieure). OpenSSL peut être utilisé en tant que programme autonome, objet partagé dynamique ou bibliothèque liée de manière statique. Par conséquent, le processus de mise à jour peut nécessiter le redémarrage de processus chargés avec une version vulnérable d'OpenSSL, ainsi que la redirection de programmes et de bibliothèques le liant de manière statique. En pratique, cela signifie mettre à jour les packages qui lient OpenSSL de manière statique et redémarrer les programmes en cours pour supprimer la copie en mémoire du code OpenSSL ancien et vulnérable.[[[[citation requise]

Une fois la vulnérabilité corrigée, les administrateurs de serveur doivent remédier à la violation potentielle de la confidentialité. Parce que Heartbleed a permis aux assaillants de divulguer des clés privées, ils doivent être traités comme des personnes compromises. les paires de clés doivent être régénérées et les certificats les utilisant doivent être réémis; les anciens certificats doivent être révoqués. Heartbleed pouvait également permettre la divulgation d'autres secrets en mémoire; par conséquent, d'autres supports d'authentification (tels que les mots de passe) doivent également être régénérés. Il est rarement possible de confirmer qu'un système affecté n'a pas été compromis ou de déterminer si une information spécifique a été divulguée.[167]

Dans la mesure où il est difficile ou impossible de déterminer quand un identifiant peut avoir été compromis et comment il a pu être utilisé par un attaquant, certains systèmes peuvent justifier des travaux de correction supplémentaires, même après avoir corrigé la vulnérabilité et remplacé les identifiants. Par exemple, des attaquants auraient peut-être créé des signatures avec des clés utilisées avec une version vulnérable de OpenSSL; cela soulève la possibilité que l'intégrité ait été violée et ouvre la signature à la répudiation. La validation des signatures et la légitimité d'autres authentifications effectuées avec une clé potentiellement compromise (telle que l'utilisation du certificat client) doivent être effectuées en fonction du système spécifique impliqué.[[[[citation requise]

Connaissance de la révocation du certificat de sécurité du navigateur[[[[modifier]

Puisque Heartbleed a menacé la confidentialité des clés privées, les utilisateurs d’un site Web compromis pourraient continuer à subir les effets de Heartbleed jusqu’à ce que leur navigateur soit informé de la révocation du certificat ou de l’expiration du certificat compromis.[168] Pour cette raison, la correction dépend également de l'utilisation par les utilisateurs de navigateurs disposant de listes de révocation de certificats à jour (ou de la prise en charge OCSP) et de révocations de certificats.[[[[citation requise]

Causes fondamentales, leçons possibles et réactions[[[[modifier]

Bien que l'évaluation du coût total de Heartbleed soit difficile, eWEEK a estimé à 500 millions USD le point de départ.[169]

L'article de David A. Wheeler Comment prévenir le prochain Heartbleed analyse pourquoi Heartbleed n’a pas été découvert plus tôt et suggère plusieurs techniques qui auraient pu permettre une identification plus rapide, ainsi que des techniques qui auraient pu réduire son impact. Selon Wheeler, la technique la plus efficace qui aurait pu empêcher Heartbleed est une suite de tests effectuant des tests de robustesse complets, c’est-à-dire que les entrées non valides provoquent des échecs plutôt que des succès. Wheeler souligne qu'une seule suite de tests à usage général pourrait servir de base à toutes les implémentations TLS.[170]

Selon un article sur La conversation écrit par Robert Merkel, Heartbleed a révélé une échec massif de l'analyse des risques. Merkel pense qu'OpenSSL accorde plus d'importance à la performance qu'à la sécurité, ce qui n'a plus de sens à ses yeux. Mais Merkel estime qu’OpenSSL ne devrait pas être blâmé autant que les utilisateurs d’OpenSSL, qui ont choisi d’utiliser OpenSSL, sans financer de meilleurs audits et tests. Merkel explique que deux aspects déterminent le risque que des bogues similaires causent des vulnérabilités. Premièrement, le code source de la bibliothèque influence le risque d'écrire des bogues ayant un tel impact. Deuxièmement, les processus OpenSSL affectent les chances de détecter rapidement les bogues. Sur le premier aspect, Merkel mentionne l'utilisation du langage de programmation C comme un facteur de risque favorisant l'apparition de Heartbleed, faisant écho à l'analyse de Wheeler.[170][171]

Sur le même aspect, Theo de Raadt, fondateur et dirigeant des projets OpenBSD et OpenSSH, a critiqué les développeurs OpenSSL pour avoir écrit leurs propres routines de gestion de la mémoire et a ainsi affirmé contourner les contre-mesures d’exploitation des bibliothèques standard OpenBSD C, affirmant que «OpenSSL n’est pas développé par une équipe responsable. "[172][173] À la suite de la divulgation de Heartbleed, les membres du projet OpenBSD ont transféré OpenSSL dans LibreSSL.[174]

L'auteur du changement qui a introduit Heartbleed, Robin Seggelmann,[175] a déclaré qu'il manque de valider une variable contenant une longueur et a nié toute intention de soumettre une mise en œuvre erronée.[12] À la suite de la divulgation de Heartbleed, Seggelmann a suggéré de se concentrer sur le deuxième aspect, affirmant qu'OpenSSL n'est pas examiné par suffisamment de personnes.[176] Bien que le travail de Seggelmann ait été examiné par un développeur principal OpenSSL, il visait également à vérifier les améliorations fonctionnelles, ce qui rend les vulnérabilités beaucoup plus faciles à échapper.[170]

Le développeur principal d'OpenSSL, Ben Laurie, a déclaré qu'un audit de sécurité d'OpenSSL aurait intercepté Heartbleed.[177] L'ingénieur logiciel John Walsh a commenté:

Pensez-y, OpenSSL n'en a que deux [fulltime] personnes à écrire, mettre à jour, tester et réviser 500 000 lignes de code d'entreprise critique.[178]

Le président de la fondation OpenSSL, Steve Marquess, a déclaré: "Le mystère n'est pas que quelques volontaires surchargés ont manqué ce bug, c'est pourquoi il n'est pas arrivé plus souvent."[179] David A. Wheeler a décrit les audits comme un excellent moyen de trouver des vulnérabilités dans des cas typiques, mais a noté que "OpenSSL utilise des structures inutilement complexes, ce qui rend plus difficile la tâche de contrôle des utilisateurs et des machines". Il a écrit:

Un effort continu devrait être fait pour simplifier le code, car sinon, le simple ajout de fonctionnalités augmenterait lentement la complexité du logiciel. Le code doit être remanié dans le temps pour le rendre simple et clair, et non pour ajouter constamment de nouvelles fonctionnalités. L’objectif doit être un code «manifestement correct», par opposition à un code tellement complexe que «je ne vois aucun problème».[170]

LibreSSL a procédé à un grand nettoyage du code en supprimant plus de 90 000 lignes de code C au cours de sa première semaine.[180]

Selon le chercheur en sécurité Dan Kaminsky, Heartbleed est le signe d’un problème économique qu’il faut régler. Voyant le temps pris pour capturer cette erreur simple dans une fonctionnalité simple à partir d'une dépendance "critique", Kaminsky craint de nombreuses vulnérabilités futures si rien n'est fait. Lorsque Heartbleed a été découvert, OpenSSL était géré par une poignée de volontaires, dont un seul travaillait à plein temps.[181] Les dons annuels au projet OpenSSL se sont élevés à environ 2 000 USD.[182] Le site Web Heartbleed de Codenomicon a recommandé des dons en argent au projet OpenSSL.[15] Après avoir appris l'existence de dons pour les 2 ou 3 jours suivant la divulgation par Heartbleed d'un montant total de 841 USD, M. Kaminsky a déclaré: "Nous développons les technologies les plus importantes pour l'économie mondiale sur des infrastructures sous-financées de manière choquante."[183] Le développeur principal, Ben Laurie, a qualifié le projet de "totalement non financé".[182] Bien que OpenSSL Software Foundation n’ait pas de programme de primes de bogues, l’initiative Internet de primes des bugs Internet a octroyé 15 000 USD à Neel Mehta de Google, qui a découvert Heartbleed, pour sa divulgation responsable.[182]

Paul Chiusano a suggéré que Heartbleed était peut-être le résultat d'une économie de logiciel défaillante.[184]

La réponse collective du secteur à la crise a été la Core Infrastructure Initiative, un projet de plusieurs millions de dollars annoncé par la Linux Foundation le 24 avril 2014 dans le but de fournir des fonds aux éléments critiques de l'infrastructure mondiale de l'information.[185] Cette initiative a pour but de permettre aux développeurs principaux de travailler à plein temps sur leurs projets et de payer les audits de sécurité, l’infrastructure matérielle et logicielle, les déplacements et d’autres dépenses.[186] OpenSSL est candidat à devenir le premier bénéficiaire du financement de l'initiative.[185]

Après la découverte, Google a créé Project Zero, chargé de détecter les vulnérabilités «jour zéro» afin de sécuriser le Web et la société.[187]

Références[[[[modifier]

  1. ^ McKenzie, Patrick (9 avril 2014). "Ce que Heartbleed peut enseigner à la communauté de l'OSS sur le marketing". Kalzumeus. Récupéré 8 février 2018.
  2. ^ Biggs, John (9 avril 2014). "Heartbleed, le premier bogue de sécurité avec un logo cool". TechCrunch. Récupéré 8 février 2018.
  3. ^ "Avis de sécurité – Vulnérabilité OpenSSL Heartbleed". Cyberoam. 11 avril 2014. Récupéré 8 février 2018.
  4. ^ Limer, Eric (9 avril 2014). "Comment Heartbleed fonctionne: le code derrière le cauchemar de la sécurité sur Internet". Récupéré 24 novembre 2014.
  5. ^ une b "CVE-2014-0160". Vulnérabilités et expositions communes. Mitre. Récupéré 8 février 2018.
  6. ^ "CWE-126: lecture excessive de la mémoire tampon (3.0)". Vulnérabilités et expositions communes. Mitre. 18 janvier 2018. Récupéré 8 février 2018.
  7. ^ "AL14-005: Vulnérabilité Heartbleed à OpenSSL". Bulletins de cybersécurité. Sécurité publique Canada. 11 avril 2014. Récupéré 8 février 2018.
  8. ^ Msgstr "Ajouter une vérification de limite d 'extension de pulsation". git.openssl.org Git – openssl.git / commit /. [OpenSSL]. Récupéré 5 mars 2019.
  9. ^ Leyden, John (20 mai 2014). "AVG sur Heartbleed: C’est dangereux d’aller seul. Prenez ceci (un outil AVG)". Le registre. Récupéré 8 février 2018.
  10. ^ Pretorius, Tracey (10 avril 2014). "Services Microsoft non affectés par la vulnérabilité OpenSSL" Heartbleed "". Microsoft. Récupéré 8 février 2018.
  11. ^ Seggelmann, Robin; Tuexen, Michael; Williams, Michael (février 2012). Extension de pulsation TLS (Transport Layer Security) et Datagram Transport Security (DTLS). IETF. est ce que je:10.17487 / RFC6520. ISSN 2070-1721. RFC 6520. Récupéré 8 février 2018.
  12. ^ une b Grubb, Ben (11 avril 2014). "L'homme qui a introduit une faille de sécurité sérieuse 'Heartbleed' nie l'avoir inséré délibérément". Le Sydney Morning Herald.
  13. ^ "# 2658: [PATCH] Ajouter des pulsations TLS / DTLS ". OpenSSL. 2011.
  14. ^ "Rencontrez l'homme qui a créé le bogue qui a presque cassé Internet". Globe and Mail. 11 avril 2014.
  15. ^ une b c e "Insecte Heartbleed". 8 avril 2014.
  16. ^ Goodin, Dan (8 avril 2014). "Un bogue de crypto critique dans OpenSSL ouvre les deux tiers du Web à une écoute indiscrète". Ars Technica.
  17. ^ une b Bar-El, Hagai (9 avril 2014). "OpenSSL" Heartbleed "bug: ce qui est en jeu sur le serveur et ce qui ne l’est pas".
  18. ^ "Mark J Cox – #Heartbleed". Récupéré 12 avril 2014.
  19. ^ Dewey, Caitlin. "Pourquoi s'appelle-t-il le 'Bug Heartbleed'?". Récupéré 25 novembre 2014.
  20. ^ Lee, Timothy B. (10 avril 2014). "Qui a découvert la vulnérabilité?". Vox. Récupéré 4 décembre 2017.
  21. ^ Lee, Ariana (13 avril 2014). "Comment Codenomicon a trouvé le bug Heartbleed qui sévit maintenant sur Internet – ReadWrite". Lire écrire. Récupéré 4 décembre 2017. Découvert de manière indépendante par l'ingénieur Google Neel Mehta et la société de sécurité finlandaise Codenomicon, Heartbleed a été qualifié de «l'un des problèmes de sécurité les plus graves jamais rencontré sur le Web moderne».
  22. ^ "Des chercheurs finlandais ont découvert une grave fuite au cœur de l'Internet", a ajouté "Des chercheurs finlandais ont découvert une fuite grave dans le cœur de l'Internet". 10 avril 2014. Récupéré 13 avril 2014.
  23. ^ Mouton, Paul (8 avril 2014). "Un demi-million de sites Web largement fiables et vulnérables au bogue Heartbleed". Netcraft Ltd. Récupéré 24 novembre 2014.
  24. ^ Perlroth, Nicole; Hardy, Quentin (11 avril 2014). "La faille Heartbleed pourrait atteindre les appareils numériques, disent les experts". New York Times.
  25. ^ Chen, Brian X. (9 avril 2014). "Q. et A. sur Heartbleed: Une faille manquée par les masses". New York Times.
  26. ^ Wood, Molly (10 avril 2014). "Flaw Calls for Altering Passwords, Experts Say". New York Times.
  27. ^ Manjoo, Farhad (10 April 2014). "Users' Stark Reminder: As Web Grows, It Grows Less Secure". New York Times.
  28. ^ Zhu, Yan (8 April 2014). "Why the Web Needs Perfect Forward Secrecy More Than Ever". Electronic Frontier Foundation.
  29. ^ Goodin, Dan (8 April 2014). "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica.
  30. ^ "Schneier on Security: Heartbleed". Schneier on Security. 11 April 2014.
  31. ^ Joseph Steinberg (10 April 2014). "Massive Internet Security Vulnerability – Here's What You Need To Do". Forbes.
  32. ^ Kelion, Leo (11 April 2014). "BBC News – US government warns of Heartbleed bug danger". BBC.
  33. ^ une b "OpenSSL bug CVE-2014-0160". Tor Project. 7 April 2014.
  34. ^ Grubb, Ben (14 April 2014), "Heartbleed disclosure timeline: who knew what and when", Le Sydney Morning Herald, récupéré 25 novembre 2014
  35. ^ "heartbeat_fix". Récupéré 14 avril 2014.
  36. ^ une b ""complete list of changes" (Git – openssl.git/commitdiff)". The OpenSSL Project. 7 April 2014. Récupéré 10 April 2014.
  37. ^ Graham, Robert (21 June 2014). "300k servers vulnerable to Heartbleed two months later". Errata Security. Récupéré 22 juin 2014.
  38. ^ "Heartbleed certificate revocation tsunami yet to arrive". Netcraft. 11 April 2014. Récupéré 24 avril 2014.
  39. ^ Paul Mutton (9 May 2014). "Keys left unchanged in many Heartbleed replacement certificates!". Netcraft. Récupéré 11 September 2016.
  40. ^ Sean Michael Kerner (10 May 2014). "Heartbleed Still a Threat to Hundreds of Thousands of Servers". eWEEK.
  41. ^ Evans, Pete (14 April 2014), Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC News Some of the details are in the video linked from the page.
  42. ^ "Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug". 14 April 2014. Récupéré 4 November 2014.
  43. ^ Thibedeau, Hannah (16 April 2014). "Heartbleed bug accused charged by RCMP after SIN breach". CBC News.
  44. ^ "Heartbleed hack case sees first arrest in Canada". Nouvelles de la BBC. 16 April 2014.
  45. ^ une b Kelion, Leo (14 April 2014). "BBC News – Heartbleed hacks hit Mumsnet and Canada's tax agency". Nouvelles de la BBC.
  46. ^ "Mumsnet and Heartbleed as it happened". Mumsnet.
  47. ^ Ward, Mark (29 April 2014). "Heartbleed used to uncover data from cyber-criminals". BBC News.
  48. ^ Lawler, Richard (11 April 2014). "Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible". Engadget.
  49. ^ "The Heartbleed Challenge". CloudFlare. 2014. Archived from the original on April 12, 2014.
  50. ^ Robertson, Jordan (16 April 2014). "Hackers from China waste little time in exploiting Heartbleed". Le Sydney Morning Herald.
  51. ^ Sam Frizell. "Time Magazine: Report: Devastating Heartbleed Flaw Was Used in Hospital Hack". Récupéré 7 octobre 2014.
  52. ^ Cipriani, Jason (9 April 2014). "Heartbleed bug: Check which sites have been patched". CNET.
  53. ^ Gallagher, Sean (9 April 2014). "Heartbleed vulnerability may have been exploited months before patch". Ars Technica.
  54. ^ Eckersley, Peter. "Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?". Eff.org. Récupéré 25 novembre 2014.
  55. ^ Graham, Robert (9 April 2014). "No, we weren't scanning for hearbleed before April 7". Errata Security.
  56. ^ Riley, Michael (12 April 2014). "NSA Said to Exploit Heartbleed Bug for Intelligence for Years". Bloomberg L.P.
  57. ^ Molina, Brett. "Report: NSA exploited Heartbleed for years". États-Unis aujourd'hui. Récupéré 11 April 2014.
  58. ^ Riley, Michael. "NSA exploited Heartbleed bug for two years to gather intelligence, sources say". Financial Post. Récupéré 11 April 2014.
  59. ^ "Statement on Bloomberg News story that NSA knew about the 'Heartbleed bug' flaw and regularly used it to gather critical intelligence". National Security Agency. 11 April 2014.
  60. ^ Mark Hosenball; Will Dunham (11 April 2014). "White House, spy agencies deny NSA exploited 'Heartbleed' bug". Reuters.
  61. ^ Zetter, Kim. "U.S. Gov Insists It Doesn't Stockpile Zero-Day Exploits to Hack Enemies". wired.com. Récupéré 25 novembre 2014.
  62. ^ Hunt, Troy (9 April 2014). "Everything you need to know about the Heartbleed SSL bug".
  63. ^ "git.openssl.org Git – openssl.git/log". git.openssl.org. Archived from the original on April 15, 2014. Récupéré 25 novembre 2014.
  64. ^ "Spiceworks Community Discussions". community.spiceworks.com. Récupéré 11 April 2014.
  65. ^ The OpenSSL Project (7 April 2014). "OpenSSL Security Advisory [07 Apr 2014]".
  66. ^ "OpenSSL versions and vulnerability [9 April 2014]". Récupéré 9 April 2014.
  67. ^ "Cyberoam Users Need not Bleed over Heartbleed Exploit". cyberoam.com. Archived from the original on April 15, 2014. Récupéré April 11, 2014.
  68. ^ "tls1_process_heartbeat [9 April 2014]". Récupéré 10 April 2014.
  69. ^ "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014.
  70. ^ John Graham-Cumming (28 April 2014). "Searching for The Prime Suspect: How Heartbleed Leaked Private Keys". CloudFlare. Récupéré 7 June 2014.
  71. ^ Judge, Kevin. "Servers Vulnerable to Heartbleed [14 July 2014]". Récupéré 25 August 2014.
  72. ^ Lee Rainie; Maeve Duggan (30 April 2014). "Heartbleed's Impact". Pew Research Internet Project. Pew Research Center. p. 2
  73. ^ Bradley, Tony (14 April 2014). "Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack". PC World. IDG Consumer & SMB.
  74. ^ une b Charles Arthur (15 April 2014). "Heartbleed makes 50m Android phones vulnerable, data shows". Le gardien. Guardian News and Media Limited.
  75. ^ "Security Now 451". Twit.Tv. Récupéré 19 avril 2014.
  76. ^ Ramzan, Zulfikar (24 April 2014). "'Reverse Heartbleed' can attack PCs and mobile phones". SC Magazine. Haymarket Media, Inc.
  77. ^ une b "OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products". Cisco Systems. 9 April 2014.
  78. ^ "heartbleed-masstest: Overview". GitHub. Récupéré 19 avril 2014.
  79. ^ Cipriani, Jason (10 April 2014). "Which sites have patched the Heartbleed bug?". CNET. Récupéré 10 April 2014.
  80. ^ "Heartbleed FAQ: Akamai Systems Patched". Akamai Technologies. 8 April 2014.
  81. ^ "AWS Services Updated to Address OpenSSL Vulnerability". Amazon Web Services. 8 April 2014.
  82. ^ "Dear readers, please change your Ars account passwords ASAP". Ars Technica. 8 April 2014.
  83. ^ "All Heartbleed upgrades are now complete". BitBucket Blog. 9 April 2014.
  84. ^ "Keeping Your BrandVerity Account Safe from the Heartbleed Bug". BrandVerity Blog. 9 April 2014.
  85. ^ "Twitter / freenodestaff: we've had to restart a bunch…" 8 April 2014.
  86. ^ "Security: Heartbleed vulnerability". GitHub. 8 April 2014.
  87. ^ "IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed". LifeHacker. 8 April 2014.
  88. ^ "Heartbleed bug and the Archive | Internet Archive Blogs". 9 April 2014. Récupéré 14 avril 2014.
  89. ^ "Twitter / KrisJelbring: If you logged in to any of". Twitter.com. 8 April 2014. Récupéré 14 avril 2014.
  90. ^ "The widespread OpenSSL 'Heartbleed' bug is patched in PeerJ". PeerJ. 9 April 2014.
  91. ^ "Was Pinterest impacted by the Heartbleed issue?". Help Center. Pinterest. Récupéré 20 avril 2014.
  92. ^ "Heartbleed Defeated". Archived from the original on June 5, 2014. Récupéré April 13, 2014.
  93. ^ Staff (14 April 2014). "We recommend that you change your reddit password". Reddit. Récupéré 14 avril 2014.
  94. ^ "IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI". Récupéré 13 April 2014.
  95. ^ Codey, Brendan (9 April 2014). "Security Update: We're going to sign out everyone today, here's why". SoundCloud.
  96. ^ "SourceForge response to Heartbleed". SourceForge. 10 April 2014.
  97. ^ "Heartbleed". SparkFun. 9 April 2014.
  98. ^ "Heartbleed". Stripe (company). 9 April 2014. Récupéré 10 April 2014.
  99. ^ "Tumblr Staff-Urgent security update". 8 April 2014. Récupéré 9 April 2014.
  100. ^ Hern, Alex (9 April 2014). "Heartbleed: don't rush to update passwords, security experts warn". Le gardien.
  101. ^ une b Grossmeier, Greg (8 April 2014). "[Wikitech-l] Fwd: Security precaution – Resetting all user sessions today". Wikimedia Foundation. Récupéré 9 April 2014.
  102. ^ Grossmeier, Greg (10 April 2014). "Wikimedia's response to the "Heartbleed" security vulnerability". Wikimedia Foundation blog. Wikimedia Foundation. Récupéré 10 April 2014.
  103. ^ "Wunderlist & the Heartbleed OpenSSL Vulnerability". 10 April 2014.
  104. ^ "Security concerns prompts tax agency to shut down website". CTV News. 9 April 2014. Récupéré 9 April 2014.
  105. ^ "Heartbleed: Canadian tax services back online". CBC News. Récupéré 14 avril 2014.
  106. ^ "The Statistics Canada Site Was Hacked By an Unknown Attacker". Vice – Motherboard. Récupéré 23 December 2018.
  107. ^ Fiegerman, Seth (14 April 2014). "The Heartbleed Effect: Password Services Are Having a Moment". Mashable.
  108. ^ "LastPass and the Heartbleed Bug". LastPass. 8 April 2014. Récupéré 28 April 2014.
  109. ^ "[tor-relays] Rejecting 380 vulnerable guard/exit keys". Lists.torproject.org. Récupéré 19 avril 2014.
  110. ^ "Tor Weekly News—April 16th, 2014 | The Tor Blog". Blog.torproject.org. Récupéré 19 avril 2014.
  111. ^ Gallagher, Sean (17 May 2012). "Tor network's ranks of relay servers cut because of Heartbleed bug". Ars Technica. Récupéré 19 avril 2014.
  112. ^ Mimoso, Michael. "Tor Blacklisting Exit Nodes Vulnerable to Heartbleed Bug | Threatpost | The first stop for security news". Threatpost. Récupéré 19 avril 2014.
  113. ^ Paul Younger (11 April 2014). "PC game services affected by Heartbleed and actions you need to take". IncGamers.
  114. ^ "HP Servers Communication: OpenSSL "HeartBleed" Vulnerability". April 18, 2014. Archived from the original on March 4, 2016.
  115. ^ "FileMaker products and the Heartbleed bug". 6 May 2014.
  116. ^ italovignoli (10 April 2014). "LibreOffice 4.2.3 is now available for download". The Document Foundation. Archived from the original on 12 April 2014. Récupéré 11 April 2014.
  117. ^ "CVE-2014-0160". LibreOffice. 7 April 2014. Récupéré 2 May 2014.
  118. ^ "LogMeIn and OpenSSL". LogMeIn. Récupéré 10 April 2014.
  119. ^ "McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products". McAfee KnowledgeBase. McAfee. 17 April 2014.
  120. ^ une b c e F "OpenSSL Security Bug – Heartbleed / CVE-2014-0160". Récupéré 12 May 2014.
  121. ^ "Recent Version History". WinSCP. 14 April 2014. Récupéré 2 May 2014.
  122. ^ "Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed"". VMware, Inc. Récupéré 17 April 2014.
  123. ^ "DSA-2896-1 openssl—security update". The Debian Project. 7 April 2014.
  124. ^ "Ubuntu Security Notice USN-2165-1". Canonical, Ltd. 7 April 2014. Récupéré 17 April 2014.
  125. ^ "Important: openssl security update". Red Hat, Inc. 8 April 2014.
  126. ^ "Karanbir Singh's posting to CentOS-announce". centos.org. 8 April 2014.
  127. ^ "Amazon Linux AMI Security Advisory: ALAS-2014-320". Amazon Web Services, Inc. 7 April 2014. Récupéré 17 April 2014.
  128. ^ "Android 4.1.1 devices vulnerable to Heartbleed bug, says Google". NDTV Convergence. 14 April 2014.
  129. ^ "Around 50 million Android smartphones are still vulnerable to the Heartbleed Bug". Fox News. 17 April 2014.
  130. ^ "Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected". BGR Media. 16 April 2014.
  131. ^ Blaich, Andrew (April 8, 2014). "Heartbleed Bug Impacts Mobile Devices". Bluebox. Archived from the original on May 6, 2014.
  132. ^ Snell, Jason (22 April 2014). "Apple releases Heartbleed fix for AirPort Base Stations". Macworld.
  133. ^ Kleinman, Alexis (11 April 2014). "The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do". Le Huffington Post.
  134. ^ une b Yadron, Danny (10 April 2014). "Heartbleed Bug Found in Cisco Routers, Juniper Gear". Dow Jones & Company, Inc.
  135. ^ "2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)". Juniper Networks. 14 April 2014.
  136. ^ "OpenSSL "Heartbleed" Information Disclosure, ECDSA". Electric Sheep Fencing LLC. 8 April 2014. Récupéré 2 May 2014.
  137. ^ "OpenVPN affected by OpenSSL bug CVE-2014-016?". DD-WRT Forum. Récupéré 26 février 2017.
  138. ^ "Heartbleed Bug Issue". Western Digital. April 10, 2014. Archived from the original on April 19, 2014.
  139. ^ Brewster, Tom (16 April 2014). "Heartbleed: 95% of detection tools 'flawed', claim researchers". Le gardien. Guardian News and Media Limited.
  140. ^ "Tripwire SecureScan". Tripwire – Take Control of IT Security and Regulatory Compliance with Tripwire Software. Récupéré 7 octobre 2014.
  141. ^ "AppCheck – static binary scan, from Codenomicon". Archived from the original on October 17, 2014. Récupéré October 7, 2014.
  142. ^ "Arbor Network's Pravail Security Analytics". Archived from the original on April 11, 2014. Récupéré October 7, 2014.
  143. ^ "Norton Safeweb Heartbleed Check Tool". Récupéré 7 octobre 2014.
  144. ^ "Heartbleed OpenSSL extension testing tool, CVE-2014-0160". Possible.lv. Récupéré 11 April 2014.
  145. ^ "Test your server for Heartbleed (CVE-2014-0160)". Récupéré 25 novembre 2014.
  146. ^ "Cyberoam Security Center". Archived from the original on 15 April 2014. Récupéré 25 novembre 2014.
  147. ^ "Critical Watch :: Heartbleed Tester :: CVE-2014-0160". Heartbleed.criticalwatch.com. Archived from the original on April 14, 2014. Récupéré April 14, 2014.
  148. ^ "metasploit-framework/openssl_heartbleed.rb at master". Récupéré 25 novembre 2014.
  149. ^ "OpenSSL Heartbeat Vulnerability Check (Heartbleed Checker)". Récupéré 25 novembre 2014.
  150. ^ "Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App". Lookout Mobile Security blog. 9 April 2014. Récupéré 10 April 2014.
  151. ^ "Heartbleed checker". LastPass. Récupéré 11 April 2014.
  152. ^ "OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools". Pentest-tools.com. Récupéré 11 April 2014.
  153. ^ Stafford, Jared (14 April 2014). "heartbleed-poc.py". Red Hat, Inc.
  154. ^ "Qualys's SSL Labs' SSL Server Test". Récupéré 7 octobre 2014.
  155. ^ "Chromebleed". Récupéré 7 octobre 2014.
  156. ^ "FoxBleed". Récupéré 7 octobre 2014.
  157. ^ "SSL Diagnos". SourceForge. Récupéré 7 octobre 2014.
  158. ^ "CrowdStrike Heartbleed Scanner". Récupéré 7 octobre 2014.
  159. ^ Lynn, Samara. "Routers, SMB Networking Equipment – Is Your Networking Device Affected by Heartbleed?". PCMag.com. Récupéré 24 avril 2014.
  160. ^ "Netcraft Site Report". Récupéré 7 octobre 2014.
  161. ^ "Netcraft Extensions". Récupéré 7 octobre 2014.
  162. ^ Mutton, Paul (24 June 2014). "Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera". Netcraft.
  163. ^ Mann, Jeffrey (9 April 2014). "Tenable Facilitates Detection of OpenSSL Vulnerability Using Nessus and Nessus Perimeter Service". Tenable Network Security.
  164. ^ "Nmap 6.45 Informal Release". 12 April 2014.
  165. ^ "VRT: Heartbleed Memory Disclosure – Upgrade OpenSSL Now!". 8 April 2014.
  166. ^ "Blogs | How to Detect a Prior Heartbleed Exploit". Riverbed. 9 April 2014.
  167. ^ "Patched Servers Remain Vulnerable to Heartbleed OpenSSL | Hayden James". Haydenjames.io. Récupéré 10 April 2014.
  168. ^ "Security Certificate Revocation Awareness – Specific Implementations". Gibson Research Corporation. Récupéré 7 June 2014.
  169. ^ Sean Michael Kerner (19 April 2014). "Heartbleed SSL Flaw's True Cost Will Take Time to Tally". eWEEK.
  170. ^ une b c A. Wheeler, David (29 April 2014). "How to Prevent the next Heartbleed".
  171. ^ Merkel, Robert (11 April 2014). "How the Heartbleed bug reveals a flaw in online security". La conversation.
  172. ^ "Re: FYA: http: heartbleed.com". Gmane. Récupéré 11 April 2014.
  173. ^ "Theo De Raadt's Small Rant On OpenSSL". Slashdot. Dice. 10 April 2014.
  174. ^ "OpenBSD has started a massive strip-down and cleanup of OpenSSL". OpenBSD journal. 15 April 2014.
  175. ^ Lia Timson (11 April 2014). "Who is Robin Seggelmann and did his Heartbleed break the internet?". Le Sydney Morning Herald.
  176. ^ Williams, Chris (11 April 2014). "OpenSSL Heartbleed: Bloody nose for open-source bleeding hearts". The Register.
  177. ^ Smith, Gerry (10 April 2014). "How The Internet's Worst Nightmare Could Have Been Avoided". Le Huffington Post. The bug revealed this week was buried inside 10 lines of code and would have been spotted in an audit, according to Laurie, who works on the security team at Google.
  178. ^ John Walsh (30 April 2014). "Free Can Make You Bleed". ssh communications security. Récupéré 11 September 2016.
  179. ^ Walsh, John (30 April 2014). "Free Can Make You Bleed". SSH Communications Security.
  180. ^ Seltzer, Larry (21 April 2014). "OpenBSD forks, prunes, fixes OpenSSL". Zero Day. ZDNet. Récupéré 21 April 2014.
  181. ^ Pagliery, Jose (18 April 2014). "Your Internet security relies on a few volunteers". CNNMoney. Cable News Network.
  182. ^ une b c Perlroth, Nicole (18 April 2014). "Heartbleed Highlights a Contradiction in the Web". Le New York Times. The New York Times Company.
  183. ^ Kaminsky, Dan (10 April 2014). "Be Still My Breaking Heart". Dan Kaminsky's Blog.
  184. ^ Chiusano, Paul (8 December 2014). "The failed economics of our software commons, and what you can about it right now". Paul Chiusano's blog.
  185. ^ une b "Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects". The Linux Foundation. 24 April 2014.
  186. ^ Paul, Ian (24 April 2014). "In Heartbleed's wake, tech titans launch fund for crucial open-source projects". PC World.
  187. ^ "Google Project Zero aims to keep the Heartbleed Bug from happening again". TechRadar. Récupéré 9 April 2017.

Bibliographie[[[[modifier]

Liens externes[[[[modifier]


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.