Google ve BoringSSL çalışanları tarafından OpenSSL’de güvenlik açığı tespit edildi!

24 Haziran 2015 tarihinde OpenSSL’in SSL sertifikası doğrulaması sırasında HTTPS bağlantısında ortaya çıkan bir güvenlik açığı olduğu tespit edildi. Bu güvenlik açığı 9 Temmuz 2015 tarihinde Google çalışanı Adam Langley ve BoringSSL çalışanı David Benjamin tarafından ek kod geliştirilip OpenSSL’e entegre edilerek kapatıldı. Sunucularında OpenSSL kullananların güvenlik açığını kapatmak için OpenSSL sürümünü güncellemeleri gerekmektedir. (Güncelleme işleminin adımları aşağıda anlatılmıştır.)

Bu güvenlik açığından faydalanan saldırgan sisteminize zarar verebilir ve kullanıcı bilgilerinizi çalabilir.

Güvenlik açığının neden kaynaklandığını detaylı olarak incelemek için buraya tıklayıp bilgi alabilirsiniz.

Güvenlik açığına sahip sürümler aşağıda yer almaktadır.
* 1.0.2b
* 1.0.2c
* 1.0.1n
* 1.0.1o

Bu sürümlere sahip olan kişi ya da kurumların bir an önce sunucu üzerinde bulunan OpenSSL sürümünü güncellemeleri gerekmektedir. Aksi takdirde sunucularında oluşacak güvenlik açığı kullanıcıların bilgilerinin çalınmasına neden olabilir.

SSL Sertifikası – OpenSSL Nedir?

SSL kelimesi terim olarak Secure Socket Layer kelimelerinin kısaltmasıdır. (Secure = Güvenli, Socket = Soket ve Layer = Katman)

SSL birbiri ile nasıl haberleşeceğini protokol olarak bilen iki uygulama arasında güvenli bir iletişim katmanı oluşturur. Bu katman içinden geçen veri o an için belirli şifreleme ve geri açma formüllerine göre gizlenerek transfer edilir. Kullanıcı tarafından gönderilen veri sunucuya şifrelenmiş bir şekilde iletilir. Güvenli bir katman üzerinden iletilen veri sayesinde iletişim güvenli hale gelir.

OpenSSL, açık kaynak olarak çalışan bir güvenlik sertifikası kütüphanesidir. Güvenlik açığı bulunan OpenSSL‘in otomatik olarak kurulu olduğu işletim sistemleri şunlardır:

Debian Wheezy
Ubuntu 12.04.4
CentOS 6.4
Fedora 18
OpenBSD 5.3
FreeBSD 10.0
NetBSD 5.0.2
OpenSUSE 12.2

Mevcut sunucu açığından kimler etkilenecek?

Bu güvenlik açığı sunucularında OpenSSL kullanan kişi ya da kurumları ilgilendirmektedir. Güvenlik açığının kapatılması konusunda aşağıdan yardım alabilirsiniz.

Mevcut güvenlik açığı nasıl kapatılabilir?

Sunucu üzerinde bulunan OpenSSL paketini güncelleyin.

Örn:
Redhat Distro işletim sistemi için konsol üzerinden “yum update openssl” komutu girilmelidir.
Debian Distro işletim sistemi için konsol üzerinden

“sudo apt-get update”

“sudo apt-get upgrade” komutları girilmelidir.

SSL sertifikamı güncellemem gerekecek mi?

Bu işlemin ardından SSL sertifikasını yeniden oluşturmanız gerekecektir. Yeni bir CSR kodu oluşturarak SSL sertifikanız üzerinde Reissue (Yeniden Oluşturma) işlemi yapmanızı öneririz.

Google ve BoringSSL çalışanları tarafından OpenSSL’de güvenlik açığı tespit edildi!

SSL Sertifikası – OpenSSL Nedir?

Mevcut sunucu açığından kimler etkilenecek?

Mevcut güvenlik açığı nasıl kapatılabilir?

SSL sertifikamı güncellemem gerekecek mi?

Vivense Kurucusu Kemal Erol ile Radore Hakkında

PHPKonf, geleceği yazanları bir araya getirdi!

İlginizi çekebilecek yazılar

Radore’nin yeni ortaklık süreci resmi olarak tamamlandı

İstanbul Üniversitesi Hukuk Fakültesi Uluslararası Hukuk Kulübü Radore’de!

How It Works, The Computer. Basım Yılı: 1971

Kesilmeyen elektriğin keşfedildiği yer: Veri merkezleri

Microsoft’un İlk İnternet Sayfası