Pacth OpenSSl, apalagi itu?

Versi patch dari openSSL telah terbit. Namun alih-alih menggunakan, patch nya masih sulit dipahami. Mari kita uraikan ..


Proyek OpenSSL menyampaikan terima kasih kepada Neel Mehta dari Google Security yang telah menemukan bug ini dan Adam Langley dengan Bodo Moeller yang telah memperbaiki. Disarankan agar semua pengguna OpenSSL 1.0.1 harus meng-upgrade ke OpenSSL 1.0.1g. Mereka dapat segera meng-upgrade harus mengkompilasi ulang OpenSSL dengan -DOPENSSL_NO_HEARTBEATS. OpenSSL 1.0.0 dan 0.9.8 OpenSSL tidak rentan.

Heartbleed tidak cacat desain di protokol SSL / TLS   melainkan bug dalam implementasi OpenSSL dari TLS / DTLS (protokol keamanan lapisan transportasi ) ekstensi heartbleed (RFC6520). Karena bug dapat mengekspos kunci yang digunakan untuk mengenkripsi koneksi, penyerang dapat mendekripsi setiap "masa lalu" dan lalu lintas "masa depan" untuk koneksi terenkripsi sejak kunci primer telah terpapar. Sayangnya untuk memperbaiki masalah, tidak hanya server memerlukan patch tapi semua kunci perlu dicabut dan kunci baru diterbitkan kembali. Ini juga berarti bahwa pengguna yang telah menggunakan layanan terenkripsi (misalnya layanan web mail, belanja online atau layanan cloud) akan perlu mengubah password mereka sebagai berpotensi koneksi yang digunakan untuk log in tidak aman.

Salah satu aspek yang sangat mengkhawatirkan bug ini tidak hanya meluasnya penggunaan OpenSSL, tetapi juga bahwa versi vulnerable pertama diterbitkan dua tahun lalu. Jika bug ini sebelumnya telah ditemukan (tapi tidak diungkapkan) oleh penjahat cyber atau lembaga pemerintah yang menjalankan keamanan  maka dua tahun terakhir dapat dikatakan lalu lintas yang terenkripsi harus dianggap sebagai salah satu yang terkena dampaknya. Bahkan jika tidak ditemukan tapi lalu lintas tercatat maka mungkin ada banyak lembaga tingkat negara yang bekerja sekarang untuk menyedot kunci dari semua itu  sebelum hal-hal itu dicabut dan diganti.

Semoga bermanfaat ...
Source :  http://www.livehacking.com/2014/04/08/heartbleed-bug-exposes-openssls-secrets-patches-available/
https://openclipart.org/detail/192938/Heart%20Bleed%20Patch%203