Heartbleed (original) (raw)
هارتبليد (بالإنگليزية: Heartbleed "نزيف القلب") هي ثغرة أمنية في مكتبة تشفير أوبن إس إس إل مفتوحة المصدر المُستخدمة لتأمين استخدام الإنترنت. اكتشف الثغرة نيل ميثا الذي يعمل في فريق الأمان في شركة جوجل، كما قالت كودنوميكون أنها اكتشفت الثغرة بشكل منفصل عن گوگل، وكذلك أعطتها اسمها الحالي ونبهت الجميع حول الثغرة وخطورتها بإطلاق موقع هارتبليد.كم، وكذلك أعطتها شعار القلب النازف.تم إصدار پاچ لإصلاح الثغرة من قِبَل شركة گوگل عبر بودو مويلر وآدم لونگلي.
| Property | Value |
|---|---|
| dbo:abstract | هارتبليد (بالإنگليزية: Heartbleed "نزيف القلب") هي ثغرة أمنية في مكتبة تشفير أوبن إس إس إل مفتوحة المصدر المُستخدمة لتأمين استخدام الإنترنت. اكتشف الثغرة نيل ميثا الذي يعمل في فريق الأمان في شركة جوجل، كما قالت كودنوميكون أنها اكتشفت الثغرة بشكل منفصل عن گوگل، وكذلك أعطتها اسمها الحالي ونبهت الجميع حول الثغرة وخطورتها بإطلاق موقع هارتبليد.كم، وكذلك أعطتها شعار القلب النازف.تم إصدار پاچ لإصلاح الثغرة من قِبَل شركة گوگل عبر بودو مويلر وآدم لونگلي. (ar) Heartbleed és un error de programari a la biblioteca de criptografia d'OpenSSL de codi obert, el que permet a un atacant llegir la memòria de l'ordinador host (per exemple, un servidor Web), el que els permet recuperar dades potencialment sensibles a la privacitat. Sobre la base dels exàmens dels registres d'auditoria dels investigadors, s'ha informat que alguns atacants podrien haver explotat el defecte durant almenys cinc mesos abans del descobriment i anunci. S'han rebut informes no confirmats que l'Agència de Seguretat Nacional dels Estats Units era conscient de la falla des de poc després de la seva introducció, però va decidir mantenir-lo en secret, en lloc d'informar que, per tal d'explotar-per als seus propis interessos. (ca) Το Heartbleed είναι ένα σφάλμα λογισμικού που προκαλεί κενό ασφάλειας (security bug) στην ανοιχτού κώδικα βιβλιοθήκη κρυπτογραφίας OpenSSL, που χρησιμοποιείται ευρέως στο πρωτόκολλο ασφάλειας επιπέδου μεταφοράς του Διαδικτύου TLS (Transport Layer Security). Πρόκειται για ένα τρωτό σημείο, που οφείλεται σε απουσία ελέγχου ορίων, στην επέκταση heartbeat του πρωτοκόλλου TLS. Μία διορθωμένη έκδοση του OpenSSL, διατέθηκε στις 7 Απριλίου 2014, ημερομηνία που αποκαλύφθηκε δημοσίως το Heartbleed. Τότε, περίπου 17% (σχεδόν μισό εκατομμύριο) από τους ασφαλείς εξυπηρετητές ιστού του Διαδικτύου, που είχαν πιστοποιηθεί από έμπιστες αρχές, θεωρήθηκε ότι ήταν τρωτοί σε επίθεση, επιτρέποντας την κλοπή των ιδιωτικών κλειδιών των εξυπηρετητών, καθώς και των συνθηματικών και των cookies των συνεδριών επισκέψεων των χρηστών του Διαδικτύου. Τόσο το Ίδρυμα Ηλεκτρονικών Συνόρων (Electronic Frontier Foundation), όσο και η Ars Technica και ο Μπρους Σνάϊερ θεώρησαν το Heartbleed καταστροφικό. Ο αρθογράφος του Φόρμπς σε θέματα κυβερνοασφάλειας Τζόζεφ Στάινμπεργκ έγραψε: "Ορισμένοι θεωρούν ότι το Heartbleed αποδεικνύεται το σοβαρότερο κενό ασφάλειας (τουλάχιστον αναφορικά με τις εν δυνάμει επιπτώσεις του) που έχει ανακαλυφθεί αφότου ξεκίνησε η εμπορική χρήση του Διαδικτύου". Εκπρόσωπος της κυβέρνησης του Ηνωμένου Βασιλείου πραγματοποίησε την ακόλουθη σύσταση: "Οι άνθρωποι πρέπει να ακολουθούν τη συμβουλή να αλλάζουν τα συνθηματικά σε ιστοχώρους που επισκέπτονται... Οι περισσότεροι ιστότοποι έχουν διορθώσει το σφάλμα και οι εκπρόσωποί τους είναι οι πλέον αρμόδιοι για να συμβουλέψουν τους χρήστες". Την ημέρα της αποκάλυψης του σφάλματος, το Tor Project συμβούλεψε οποιονδήποτε αναζητά "ισχυρή ανωνυμία ή ασφάλεια στο Διαδίκτυο να το αποφύγει εντελώς για τις επόμενες ημέρες μέχρι να καταλαγιάσουν τα πράγματα." To Heartbleed έχει καταχωρηθεί στο Σύστημα Κοινών Αδυναμιών (Common Vulnerabilities and Exposures) ως CVE-2014-0160. Το ομοσπονδιακό Καναδικό Κέντρο Αντιμετώπισης Κυβερνοσυμβάντων εξέδωσε ανακοινωθέν προς διαχειριστές ασφαλείας σχετικά με το σφάλμα. (el) Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden können. Der Fehler betrifft die OpenSSL-Versionen 1.0.1 bis 1.0.1f und wurde mit Version 1.0.1g am 7. April 2014 behoben. Ein großer Teil der Online-Dienste, darunter auch namhafte Websites wie auch VoIP-Telefone, Router und Netzwerkdrucker waren dadurch für Angriffe anfällig. (de) Heartbleed (español: hemorragia de corazón) es un agujero de seguridad de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor. Investigaciones de auditorías en un principio creyeron que algunos atacantes podrían haber explotado este error desde al menos cinco meses antes de que fuera descubierto y publicado, pero más tarde se mostraron neutrales con respecto a sus afirmaciones y concluyeron que no podían demostrar este hecho, ya que se observó que otras herramientas podían generar los mismos registros (logs). Sin embargo, tampoco podían negar que no hubiesen sido intentos de ataque. (es) Heartbleed was a security bug in the OpenSSL cryptography library, which is a widely used implementation of the Transport Layer Security (TLS) protocol. It was introduced into the software in 2012 and publicly disclosed in April 2014. Heartbleed could be exploited regardless of whether the vulnerable OpenSSL instance is running as a TLS server or client. It resulted from improper input validation (due to a missing bounds check) in the implementation of the TLS heartbeat extension. Thus, the bug's name derived from heartbeat. The vulnerability was classified as a buffer over-read, a situation where more data can be read than should be allowed. Heartbleed was registered in the Common Vulnerabilities and Exposures database as CVE-2014-0160. The federal Canadian Cyber Incident Response Centre issued a security bulletin advising system administrators about the bug. A fixed version of OpenSSL was released on 7 April 2014, on the same day Heartbleed was publicly disclosed. System administrators were frequently slow to patch their systems. As of 20 May 2014, 1.5% of the 800,000 most popular TLS-enabled websites were still vulnerable to Heartbleed. As of 21 June 2014, 309,197 public web servers remained vulnerable. As of 23 January 2017, according to a report from Shodan, nearly 180,000 internet-connected devices were still vulnerable. As of 6 July 2017, the number had dropped to 144,000, according to a search on shodan.io for "vuln:cve-2014-0160". As of 11 July 2019, Shodan reported that 91,063 devices were vulnerable. The U.S. was first with 21,258 (23%), the top 10 countries had 56,537 (62%), and the remaining countries had 34,526 (38%). The report also broke the devices down by 10 other categories such as organization (the top 3 were wireless companies), product (Apache httpd, Nginx), or service (HTTPS, 81%). TLS implementations other than OpenSSL, such as GnuTLS, Mozilla's Network Security Services, and the Windows platform implementation of TLS, were not affected because the defect existed in the OpenSSL's implementation of TLS rather than in the protocol itself. (en) Heartbleed Bug-a OpenSSL software kriptografikoko liburutegiko ahulezi larria da. Ahulezi honek duten datuak lapurtzea ahalbidetzen du. SSL/TLS enkriptazioak Interneteko hainbat zerbitzutan erabiltzen da izan ere Web, , berehalako mezularitza eta sare birtual pribatuetan . Heartbleed Bug-ak ahuleziak dituen OpenSSL softwarea erabiltzen duten sistemetako memoria irakurtzea ahalbideratzen du. Honek sistema horretako izen eta pasahitzak, bertan sartuta dagoen informazioa, datuen trafikoa erabiltzen den enkriptazioa eta zerbitzua ematen dutenen kautotzeko gako sekretua arriskuan jartzen du. Honek erasotzaileei komunikazioak entzutea, datuak lapurtzea eta erabilzaile zein zerbitzutzat aurkeztea ahalbideratzen du. (eu) Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL à partir de mars 2012, qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en mars 2014 et rendue publique le 7 avril 2014, elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, auraient été touchés par la faille au moment de la découverte du bogue. (fr) Heartbleed adalah kutu perangkat lunak dalam pustaka perangkat lunak kriptografi yang memungkin seorang pelanggar untuk membaca isi memori dari peladen atau klien yang berkomunikasi dengan protokol TLS lewat pustaka tersebut; ini memungkinkan si pelanggar mencatut informasi-informasi rahasia seperti peladen atau data-data yang sebelumnya dikirim atau diterima oleh peladen atau klien bersangkutan. Ada petunjuk bahwa ada kemungkinan ada beberapa situs yang peladennya dijebol dengan cara ini 5 bulan sebelum kutu ini ditemukan. (in) ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17%(約50万台)で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る可能性があった。 (ja) 하트블리드(영어: Heartbleed)는 2014년 4월에 발견된 오픈 소스 암호화 라이브러리인 OpenSSL의 소프트웨어 버그이다. 발표에 따르면, 인증 기관에서 인증받은 안전한 웹 서버의 약 17%(약 50만대)가 이 공격으로 개인 키 및 세션 쿠키 및 암호를 훔칠 수 있는 상태이다. (ko) Heartbleed è un nella libreria di crittografia OpenSSL, che è un’implementazione ampiamente usata del protocollo TLS (Transport Layer Security). È stato introdotto nel software nel 2012 e aperto al pubblico nell’aprile 2014. Heartbleed potrebbe essere sfruttato indipendentemente dal fatto che l’istanza OpenSSL stia girando come server o client TLS. È il risultato di una validazione input impropria (data dalla mancanza di controllo dei limiti) nell’implementazione dell’estensione heartbeat del protocollo TLS, da qui il nome del bug. La vulnerabilità è classificata come un over-read del buffer, una situazione in cui vengono letti più dati di quelli che dovrebbero essere ammissibili. Heartbleed è registrato nel database Common Vulnerabilities and Exposures come CVE-2014-0160. Il Canadian Cyber Incident Response Centre ha rilasciato un comunicato sulla sicurezza avvisando gli amministratori di sistema riguardo al bug. Una versione corretta di OpenSSL è stata rilasciata nel 7 aprile 2014, nello stesso giorno in cui Heartbleed è stato reso noto al pubblico. Al 20 maggio 2014, l’1,5% degli 800,000 siti più popolari con il protocollo TLS attivo erano ancora vulnerabili all’Heartbleed. A Gennaio 2020, secondo il report di Shodan, l'Italia si trovava al settimo posto - nel mondo - per quantità di server ancora vulnerabili (2858; la Cina, al secondo posto, ne aveva ancora 8655). Altre implementazione del TLS oltre OpenSSL, come GnuTLS, Network Security Service di Mozilla, e le piattaforme di implementazione di TLS di Windows, non sono mai state affette dal bug perché il difetto è esistito solo nell’implementazione TLS di OpenSSL più che nel protocollo in sé per sé. (it) Heartbleed is de populaire naam van een lek in de cryptografische programmeerbibliotheek OpenSSL, die veelvuldig wordt gebruikt voor de implementatie van het Transport Laag Beveiligingsprotocol (EN: Transport Layer Security of TLS) voor onder meer webwinkels en routers. De bug werd geïntroduceerd in de software in 2012 en is opgenomen in de Common Vulnerabilities and Exposures databank onder de naam CVE-2014-0160. De oorzaak was een ontbrekende grenscontrole in het heartbeat-protocol die de verstuurder van een heartbeat-request toeliet data te stelen van de bevraagde partij via diens heartbeat-respons. In Nederland maakt onder andere de iDEAL-betaalmethode gebruik van de defecte softwarebibliotheek. Op 7 april 2014 werd de vondst van het lek gepubliceerd en werd een gecorrigeerde versie van de software beschikbaar gemaakt. (nl) Heartbleed (CVE-2014-0160) — ошибка (англ. buffer over-read) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года. На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона, а это составляло около 17 % защищённых веб-сайтов Интернета. (ru) Heartbleed (CVE-2014-0160) – błąd bezpieczeństwa w popularnej bibliotece kryptograficznej OpenSSL, obecny w jej wersjach wydanych między 14 marca 2012 a kwietniem 2014, który pozwalał na nieautoryzowany zdalny odczyt danych z pamięci operacyjnej dowolnego programu używającego tej biblioteki do obsługi szyfrowanych połączeń sieciowych. Był błędem implementacji rozszerzenia protokołu TLS/DTLS „Heartbeat”. Umożliwiając kradzież obecnych często w pamięci programów, i krytycznie ważnych dla bezpieczeństwa, prywatnych kluczy kryptograficznych i danych dostępowych (haseł czy kluczy sesji), błąd narażał systemy na łatwe wtórne ataki typu przechwytywanie sesji czy man in the middle – podszywanie się pod usługi i użytkowników lub podsłuchiwanie ich, a tym samym na dostęp także do szyfrowanej komunikacji, prywatnych kont, usług i danych zapisanych w pamięci zewnętrznej. Ze względu na powszechność stosowania OpenSSL i skalę zagrożenia, błąd określono jako bardzo poważny. Po czasie okazało się jednak, że nie wykorzystano go do wielu publicznie opisanych nadużyć. (pl) Heartbleed é um bug na biblioteca de software de criptografia open-source OpenSSL, que permite a um atacante ler a memória de um servidor ou de um cliente, permitindo a este recuperar chaves SSL privadas do servidor. Os logs que foram examinados até agora, levam a crer que alguns hackers podem ter explorado a falha de segurança pelo menos cinco meses antes da falha ser descoberta por equipes de segurança. (pt) Heartbleed (officiell beteckning CVE-2014-0160) var en programbugg i krypteringsbiblioteket OpenSSL som påverkade stora delar av servrar på internet. Även ett antal klienter såsom Android påverkades. Buggen kunde potentiellt göra det lättare för illvilliga hackare att komma över servrars privata krypteringsnycklar och i förlängningen även vanliga användares lösenord, kreditkortsnummer och andra känsliga uppgifter. Buggen i OpenSSL rättades 7 april 2014, samma dag som den offentliggjordes, men systemägare, webbhotell och andra IT-funktioner behöver installera den rättade programvaran för att avvärja hotet. (sv) Heartbleed — помилка в криптографічному програмному забезпеченні OpenSSL, що дозволяє несанкціоновано читати пам'ять на сервері або на клієнті, в тому числі для вилучення закритого ключа сервера. (uk) 心脏出血漏洞(英語:Heartbleed bug),简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。 心脏出血在通用漏洞披露(CVE)系统中的编号为CVE-2014-0160。发布安全公告,提醒系统管理员注意漏洞。2014年4月7日,即漏洞公开披露的同一天,OpenSSL发布了修复后的版本。 截至2014年5月20日,在80万最热门的启用TLS的网站中,仍有1.5%易受心脏出血漏洞的攻击。 因为缺陷在于OpenSSL的实现,而不是SSL/TLS协议本身,所以除了OpenSSL之外的其他TLS实现方式,如GnuTLS、Mozilla的网络安全服务(NSS)和Windows平台的TLS实现都不受影响。 (zh) |
| dbo:thumbnail | wiki-commons:Special:FilePath/Heartbleed.svg?width=300 |
| dbo:wikiPageExternalLink | http://heartbleed.ca/ http://heartbleed.com/ http://research.njms.rutgers.edu/m/it/Publications/docs/Heartbleed_OpenSSL_Vulnerability_a_Forensic_Case_Study_at_Medical_School.pdf https://cve.mitre.org/cgi-bin/cvename.cgi%3Fname=cve-2014-0160 https://www.cyberwatch.fr/en/vulnerabilities/CVE-2014-0160 http://heartbleed.com https://www.jstor.org/stable/j.ctvndv9pc https://www.jstor.org/stable/j.ctvndv9pc.8 |
| dbo:wikiPageID | 42443120 (xsd:integer) |
| dbo:wikiPageLength | 118652 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1122314198 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:Canada_Revenue_Agency dbr:Ben_Laurie dbr:Prezi dbr:Private_key dbr:Qualys dbr:Royal_Canadian_Mounted_Police dbr:Network_Security_Services dbr:SSL_certificates dbr:Bitbucket dbr:Bloomberg_News dbr:Boy_Genius_Report dbr:Debian dbr:Humble_Bundle dbr:List_of_Wikimedia_projects dbr:Path_of_Exile dbr:Perfect_forward_secrecy dbr:PfSense dbr:Richard_A._Clarke dbr:Ubuntu_(operating_system) dbr:University_of_Michigan dbr:VMware dbr:VMware_ESXi dbr:VMware_Workstation dbr:Canadian_Cyber_Incident_Response_Centre dbr:Library_(computing) dbr:PeerJ dbr:16-bit dbr:Community_Health_Systems dbr:Core_Infrastructure_Initiative dbr:Cryptography dbr:McAfee dbc:Software_bugs dbr:Cisco_Systems dbr:CloudFlare dbr:Electronic_Frontier_Foundation dbr:Freedom_of_the_Press_Foundation dbr:Freenode dbr:GOG.com dbr:GitHub dbr:GnuTLS dbr:Google dbr:Bounds_checking dbr:Mozilla_Foundation dbr:Mumsnet dbr:MySQL dbr:The_Sydney_Morning_Herald dbr:The_Tor_Project dbr:Theo_de_Raadt dbr:Wunderlist dbc:Computer_security_exploits dbr:Android_(operating_system) dbr:Apache_HTTP_Server dbr:LibreOffice dbr:LibreSSL dbr:Linux_Foundation dbr:Linux_Mint dbr:LogMeIn dbr:Shodan_(website) dbr:Slate_(magazine) dbr:Snort_(software) dbr:Stack_Overflow_(website) dbr:Statistics_Canada dbr:Steam_(service) dbr:Stripe_(company) dbr:Client_certificate dbr:Common_Vulnerabilities_and_Exposures dbr:Password dbr:Patch_(computing) dbr:Public-key_cryptography dbr:Transport_Layer_Security dbr:Bruce_Schneier dbr:C_(programming_language) dbr:CentOS dbr:AirPort dbr:Tor_(anonymity_network) dbr:Tumblr dbr:Data_buffer dbr:Datagram_Transport_Layer_Security dbr:Wargaming_(company) dbr:Western_Digital dbr:WinSCP dbr:Wireshark dbr:Codenomicon dbr:HTTPS dbr:Security_bug dbr:Akamai_Technologies dbr:Amazon_Web_Services dbr:Cyberoam dbr:DD-WRT dbr:Dan_Kaminsky dbr:DuckDuckGo dbr:FileMaker dbr:Forbes dbr:Nmap dbr:Director_of_National_Intelligence_Revi...gence_and_Communications_Technologies dbr:Fork_(software_development) dbr:POST_(HTTP) dbr:Primavera_(software) dbr:Project_Zero dbc:2014_in_computing dbc:Internet_security dbr:Heartbeat_(computing) dbr:Hewlett-Packard dbr:Internet_Archive dbr:J._Alex_Halderman dbr:Tcpdump dbr:The_Conversation_(website) dbr:Ars_Technica dbc:Transport_Layer_Security dbr:Chitika dbr:Juniper_Networks dbr:LastPass dbr:League_of_Legends dbr:Honeypot_(computing) dbr:VMware_Player dbr:Buffer_over-read dbr:Bug_bounty_program dbr:C_standard_library dbr:Pinterest dbr:Something_Awful dbr:SoundCloud dbr:SourceForge dbr:Sourcefire dbr:IFTTT dbr:Imgur dbr:Metasploit dbr:Minecraft dbr:Minecraft.net dbr:National_Security_Agency dbr:Nessus_(software) dbr:Netcraft dbr:Nginx dbr:Online_Certificate_Status_Protocol dbr:OpenBSD dbr:OpenSSH dbr:OpenSSL dbr:Oracle_Corporation dbr:Oracle_Linux dbr:Origin_(service) dbr:Red_Hat dbr:Red_Hat_Enterprise_Linux dbr:Reddit dbr:Certificate_authority dbr:Yahoo! dbr:Public_key_certificate dbr:Man-in-the-middle_attack dbr:Security_Support_Provider_Interface dbr:Sony_Online_Entertainment dbr:Social_Insurance_Number dbr:Static_library dbr:Oracle_Big_Data_Appliance dbr:Robustness_testing dbr:Revocation_list dbr:Fachhochschule_Münster dbr:Session_cookie dbr:Amazon_Linux dbr:Repudiation_(cryptography) dbr:Bounds_check dbr:SparkFun dbr:Zero-day_attack dbr:File:Heartbleed.svg dbr:File:Simplified_Heartbleed_explanation.svg dbr:National_Cyber_Security_Centre_(Finland) |
| dbp:affectedSoftware | dbr:OpenSSL |
| dbp:b | no (en) |
| dbp:c | Category:Heartbleed bug (en) |
| dbp:caption | Logo representing Heartbleed. Security company Codenomicon gave Heartbleed both a name and a logo, contributing to public awareness of the issue. (en) |
| dbp:cve | -2014.0 |
| dbp:d | Q16244272 (en) |
| dbp:discovered | 2014-04-01 (xsd:date) |
| dbp:discoverer | Neel Mehta (en) |
| dbp:m | no (en) |
| dbp:mw | no (en) |
| dbp:n | no (en) |
| dbp:name | Heartbleed (en) |
| dbp:patched | 2014-04-07 (xsd:date) |
| dbp:q | no (en) |
| dbp:released | 2012-02-01 (xsd:date) |
| dbp:s | no (en) |
| dbp:species | no (en) |
| dbp:v | Managing risk from cyber attacks (en) |
| dbp:voy | no (en) |
| dbp:wikiPageUsesTemplate | dbt:Infobox_bug dbt:CVE dbt:As_of dbt:Citation_needed dbt:Cite_book dbt:Cite_conference dbt:Cite_report dbt:Div_col dbt:Div_col_end dbt:IETF_RFC dbt:Other_uses dbt:Quote dbt:Ref_begin dbt:Refend dbt:Reflist dbt:Short_description dbt:Sisterlinks dbt:Start_date_and_age dbt:URL dbt:Use_dmy_dates dbt:Who dbt:Mdashb dbt:Hacking_in_the_2010s dbt:SSL/TLS |
| dcterms:subject | dbc:Software_bugs dbc:Computer_security_exploits dbc:2014_in_computing dbc:Internet_security dbc:Transport_Layer_Security |
| gold:hypernym | dbr:Bug |
| rdf:type | yago:WikicatComputerSecurityExploits yago:Abstraction100002137 yago:Accomplishment100035189 yago:Act100030358 yago:Action100037396 yago:Event100029378 yago:Feat100036762 yago:PsychologicalFeature100023100 yago:YagoPermanentlyLocatedEntity dbo:Insect |
| rdfs:comment | هارتبليد (بالإنگليزية: Heartbleed "نزيف القلب") هي ثغرة أمنية في مكتبة تشفير أوبن إس إس إل مفتوحة المصدر المُستخدمة لتأمين استخدام الإنترنت. اكتشف الثغرة نيل ميثا الذي يعمل في فريق الأمان في شركة جوجل، كما قالت كودنوميكون أنها اكتشفت الثغرة بشكل منفصل عن گوگل، وكذلك أعطتها اسمها الحالي ونبهت الجميع حول الثغرة وخطورتها بإطلاق موقع هارتبليد.كم، وكذلك أعطتها شعار القلب النازف.تم إصدار پاچ لإصلاح الثغرة من قِبَل شركة گوگل عبر بودو مويلر وآدم لونگلي. (ar) Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden können. Der Fehler betrifft die OpenSSL-Versionen 1.0.1 bis 1.0.1f und wurde mit Version 1.0.1g am 7. April 2014 behoben. Ein großer Teil der Online-Dienste, darunter auch namhafte Websites wie auch VoIP-Telefone, Router und Netzwerkdrucker waren dadurch für Angriffe anfällig. (de) Heartbleed (español: hemorragia de corazón) es un agujero de seguridad de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor. Investigaciones de auditorías en un principio creyeron que algunos atacantes podrían haber explotado este error desde al menos cinco meses antes de que fuera descubierto y publicado, pero más tarde se mostraron neutrales con respecto a sus afirmaciones y concluyeron que no podían demostrar este hecho, ya que se observó que otras herramientas podían generar los mismos registros (logs). Sin embargo, tampoco podían negar que no hubiesen sido intentos de ataque. (es) Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL à partir de mars 2012, qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en mars 2014 et rendue publique le 7 avril 2014, elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, auraient été touchés par la faille au moment de la découverte du bogue. (fr) Heartbleed adalah kutu perangkat lunak dalam pustaka perangkat lunak kriptografi yang memungkin seorang pelanggar untuk membaca isi memori dari peladen atau klien yang berkomunikasi dengan protokol TLS lewat pustaka tersebut; ini memungkinkan si pelanggar mencatut informasi-informasi rahasia seperti peladen atau data-data yang sebelumnya dikirim atau diterima oleh peladen atau klien bersangkutan. Ada petunjuk bahwa ada kemungkinan ada beberapa situs yang peladennya dijebol dengan cara ini 5 bulan sebelum kutu ini ditemukan. (in) ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17%(約50万台)で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る可能性があった。 (ja) 하트블리드(영어: Heartbleed)는 2014년 4월에 발견된 오픈 소스 암호화 라이브러리인 OpenSSL의 소프트웨어 버그이다. 발표에 따르면, 인증 기관에서 인증받은 안전한 웹 서버의 약 17%(약 50만대)가 이 공격으로 개인 키 및 세션 쿠키 및 암호를 훔칠 수 있는 상태이다. (ko) Heartbleed (CVE-2014-0160) — ошибка (англ. buffer over-read) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года. На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона, а это составляло около 17 % защищённых веб-сайтов Интернета. (ru) Heartbleed é um bug na biblioteca de software de criptografia open-source OpenSSL, que permite a um atacante ler a memória de um servidor ou de um cliente, permitindo a este recuperar chaves SSL privadas do servidor. Os logs que foram examinados até agora, levam a crer que alguns hackers podem ter explorado a falha de segurança pelo menos cinco meses antes da falha ser descoberta por equipes de segurança. (pt) Heartbleed (officiell beteckning CVE-2014-0160) var en programbugg i krypteringsbiblioteket OpenSSL som påverkade stora delar av servrar på internet. Även ett antal klienter såsom Android påverkades. Buggen kunde potentiellt göra det lättare för illvilliga hackare att komma över servrars privata krypteringsnycklar och i förlängningen även vanliga användares lösenord, kreditkortsnummer och andra känsliga uppgifter. Buggen i OpenSSL rättades 7 april 2014, samma dag som den offentliggjordes, men systemägare, webbhotell och andra IT-funktioner behöver installera den rättade programvaran för att avvärja hotet. (sv) Heartbleed — помилка в криптографічному програмному забезпеченні OpenSSL, що дозволяє несанкціоновано читати пам'ять на сервері або на клієнті, в тому числі для вилучення закритого ключа сервера. (uk) 心脏出血漏洞(英語:Heartbleed bug),简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。 心脏出血在通用漏洞披露(CVE)系统中的编号为CVE-2014-0160。发布安全公告,提醒系统管理员注意漏洞。2014年4月7日,即漏洞公开披露的同一天,OpenSSL发布了修复后的版本。 截至2014年5月20日,在80万最热门的启用TLS的网站中,仍有1.5%易受心脏出血漏洞的攻击。 因为缺陷在于OpenSSL的实现,而不是SSL/TLS协议本身,所以除了OpenSSL之外的其他TLS实现方式,如GnuTLS、Mozilla的网络安全服务(NSS)和Windows平台的TLS实现都不受影响。 (zh) Heartbleed és un error de programari a la biblioteca de criptografia d'OpenSSL de codi obert, el que permet a un atacant llegir la memòria de l'ordinador host (per exemple, un servidor Web), el que els permet recuperar dades potencialment sensibles a la privacitat. (ca) Το Heartbleed είναι ένα σφάλμα λογισμικού που προκαλεί κενό ασφάλειας (security bug) στην ανοιχτού κώδικα βιβλιοθήκη κρυπτογραφίας OpenSSL, που χρησιμοποιείται ευρέως στο πρωτόκολλο ασφάλειας επιπέδου μεταφοράς του Διαδικτύου TLS (Transport Layer Security). Πρόκειται για ένα τρωτό σημείο, που οφείλεται σε απουσία ελέγχου ορίων, στην επέκταση heartbeat του πρωτοκόλλου TLS. Μία διορθωμένη έκδοση του OpenSSL, διατέθηκε στις 7 Απριλίου 2014, ημερομηνία που αποκαλύφθηκε δημοσίως το Heartbleed. Τότε, περίπου 17% (σχεδόν μισό εκατομμύριο) από τους ασφαλείς εξυπηρετητές ιστού του Διαδικτύου, που είχαν πιστοποιηθεί από έμπιστες αρχές, θεωρήθηκε ότι ήταν τρωτοί σε επίθεση, επιτρέποντας την κλοπή των ιδιωτικών κλειδιών των εξυπηρετητών, καθώς και των συνθηματικών και των cookies των συνεδριών επισκέψ (el) Heartbleed was a security bug in the OpenSSL cryptography library, which is a widely used implementation of the Transport Layer Security (TLS) protocol. It was introduced into the software in 2012 and publicly disclosed in April 2014. Heartbleed could be exploited regardless of whether the vulnerable OpenSSL instance is running as a TLS server or client. It resulted from improper input validation (due to a missing bounds check) in the implementation of the TLS heartbeat extension. Thus, the bug's name derived from heartbeat. The vulnerability was classified as a buffer over-read, a situation where more data can be read than should be allowed. (en) Heartbleed Bug-a OpenSSL software kriptografikoko liburutegiko ahulezi larria da. Ahulezi honek duten datuak lapurtzea ahalbidetzen du. SSL/TLS enkriptazioak Interneteko hainbat zerbitzutan erabiltzen da izan ere Web, , berehalako mezularitza eta sare birtual pribatuetan . (eu) Heartbleed è un nella libreria di crittografia OpenSSL, che è un’implementazione ampiamente usata del protocollo TLS (Transport Layer Security). È stato introdotto nel software nel 2012 e aperto al pubblico nell’aprile 2014. Heartbleed potrebbe essere sfruttato indipendentemente dal fatto che l’istanza OpenSSL stia girando come server o client TLS. È il risultato di una validazione input impropria (data dalla mancanza di controllo dei limiti) nell’implementazione dell’estensione heartbeat del protocollo TLS, da qui il nome del bug. La vulnerabilità è classificata come un over-read del buffer, una situazione in cui vengono letti più dati di quelli che dovrebbero essere ammissibili. (it) Heartbleed is de populaire naam van een lek in de cryptografische programmeerbibliotheek OpenSSL, die veelvuldig wordt gebruikt voor de implementatie van het Transport Laag Beveiligingsprotocol (EN: Transport Layer Security of TLS) voor onder meer webwinkels en routers. De bug werd geïntroduceerd in de software in 2012 en is opgenomen in de Common Vulnerabilities and Exposures databank onder de naam CVE-2014-0160. De oorzaak was een ontbrekende grenscontrole in het heartbeat-protocol die de verstuurder van een heartbeat-request toeliet data te stelen van de bevraagde partij via diens heartbeat-respons. In Nederland maakt onder andere de iDEAL-betaalmethode gebruik van de defecte softwarebibliotheek. Op 7 april 2014 werd de vondst van het lek gepubliceerd en werd een gecorrigeerde versie va (nl) Heartbleed (CVE-2014-0160) – błąd bezpieczeństwa w popularnej bibliotece kryptograficznej OpenSSL, obecny w jej wersjach wydanych między 14 marca 2012 a kwietniem 2014, który pozwalał na nieautoryzowany zdalny odczyt danych z pamięci operacyjnej dowolnego programu używającego tej biblioteki do obsługi szyfrowanych połączeń sieciowych. Był błędem implementacji rozszerzenia protokołu TLS/DTLS „Heartbeat”. Ze względu na powszechność stosowania OpenSSL i skalę zagrożenia, błąd określono jako bardzo poważny. Po czasie okazało się jednak, że nie wykorzystano go do wielu publicznie opisanych nadużyć. (pl) |
| rdfs:label | هارتبليد (ar) Heartbleed (ca) Heartbleed (de) Heartbleed (el) Heartbleed (es) Heartbleed (en) Heartbleed (eu) Heartbleed (in) Heartbleed (it) Heartbleed (fr) ハートブリード (ja) 하트블리드 (ko) Heartbleed (nl) Heartbleed (pl) Heartbleed (pt) Heartbleed (ru) Heartbleed (sv) Heartbleed (uk) 心脏出血漏洞 (zh) |
| owl:sameAs | freebase:Heartbleed yago-res:Heartbleed wikidata:Heartbleed dbpedia-ar:Heartbleed dbpedia-az:Heartbleed http://bn.dbpedia.org/resource/হার্টব্লিড http://bs.dbpedia.org/resource/Heartbleed dbpedia-ca:Heartbleed dbpedia-da:Heartbleed dbpedia-de:Heartbleed dbpedia-el:Heartbleed dbpedia-es:Heartbleed dbpedia-et:Heartbleed dbpedia-eu:Heartbleed dbpedia-fa:Heartbleed dbpedia-fi:Heartbleed dbpedia-fr:Heartbleed dbpedia-hu:Heartbleed dbpedia-id:Heartbleed dbpedia-it:Heartbleed dbpedia-ja:Heartbleed dbpedia-ka:Heartbleed dbpedia-ko:Heartbleed dbpedia-lmo:Heartbleed http://lv.dbpedia.org/resource/Heartbleed http://ml.dbpedia.org/resource/ഹാർട്ട്ബ്ലീഡ് dbpedia-nl:Heartbleed http://or.dbpedia.org/resource/ହାର୍ଟବ୍ଲିଡ଼ dbpedia-pl:Heartbleed dbpedia-pt:Heartbleed dbpedia-ro:Heartbleed dbpedia-ru:Heartbleed http://sco.dbpedia.org/resource/Heartbleed dbpedia-sl:Heartbleed dbpedia-sv:Heartbleed http://ta.dbpedia.org/resource/இதயக்கசிவு dbpedia-tr:Heartbleed dbpedia-uk:Heartbleed dbpedia-zh:Heartbleed https://global.dbpedia.org/id/bbJ4 |
| prov:wasDerivedFrom | wikipedia-en:Heartbleed?oldid=1122314198&ns=0 |
| foaf:depiction | wiki-commons:Special:FilePath/Simplified_Heartbleed_explanation.svg wiki-commons:Special:FilePath/Heartbleed.svg |
| foaf:isPrimaryTopicOf | wikipedia-en:Heartbleed |
| is dbo:wikiPageDisambiguates of | dbr:Heartbleed_(disambiguation) |
| is dbo:wikiPageRedirects of | dbr:CVE-2014-0160 dbr:Heart_bleed dbr:Heartbleed_Bug dbr:Heartbleed_bug dbr:HeartBleed dbr:Heartbeat_bug dbr:Heartbleed_vulnerability |
| is dbo:wikiPageWikiLink of | dbr:Pwnie_Awards dbr:List_of_The_Colbert_Report_episodes_(2014) dbr:Richard_A._Clarke dbr:DoublePulsar dbr:OCSP_stapling dbr:Core_Infrastructure_Initiative dbr:Crisis_management dbr:Tavis_Ormandy dbr:Fuzzing dbr:MultiOTP dbr:LibreSSL dbr:Linux_Foundation dbr:StartCom dbr:Cloudbleed dbr:Transport_Layer_Security dbr:Matthew_D._Green dbr:CVE-2014-0160 dbr:Tor_(network) dbr:Dark0de dbr:Linus's_law dbr:Heart_bleed dbr:Heartbleed_Bug dbr:Heartbleed_bug dbr:Dan_Kohn dbr:Forum_of_Incident_Response_and_Security_Teams dbr:Forward_secrecy dbr:History_of_the_Opera_web_browser dbr:Project_Zero dbr:2014_in_science dbr:2014_in_the_United_States dbr:HTC_One_X dbr:HeartBleed dbr:Heartbeat_(computing) dbr:J._Alex_Halderman dbr:JASBUG dbr:Cheetah_Mobile dbr:Buffer_over-read dbr:Bulletproof_hosting dbr:Bullrun_(decryption_program) dbr:National_Security_Agency dbr:OpenSSL dbr:Shellshock_(software_bug) dbr:Heartbleed_(disambiguation) dbr:Memory_safety dbr:Supersingular_isogeny_key_exchange dbr:List_of_software_bugs dbr:NOBUS dbr:Heartbeat_bug dbr:Heartbleed_vulnerability |
| is owl:differentFrom of | dbr:Hertzbleed |
| is foaf:primaryTopic of | wikipedia-en:Heartbleed |
