ഹൃദയരക്തം

CVE-2014-0160 എന്നും അറിയപ്പെടുന്ന ഹാർട്ട്‌ബ്ലീഡ്, OpenSSL ക്രിപ്‌റ്റോഗ്രഫി ലൈബ്രറിയിലെ ഒരു കമ്പ്യൂട്ടർ സുരക്ഷാ അപകടസാധ്യതയാണ്. ഇത് 2014 ഏപ്രിലിൽ കണ്ടെത്തി, കോമൺ വൾനറബിലിറ്റി സ്‌കോറിംഗ് സിസ്റ്റം (CVSS) ഇത് ഒരു നിർണായക പ്രശ്‌നമായി തരംതിരിക്കുന്നു.

ഓപ്പൺഎസ്എസ്എൽ എൻക്രിപ്ഷൻ ലൈബ്രറിയിലെ ഗുരുതരമായ സുരക്ഷാ പിഴവാണ് ഹാർട്ട്ബ്ലീഡ് ബഗ്. ഇന്റർനെറ്റ് ആശയവിനിമയം എൻക്രിപ്റ്റ് ചെയ്യുന്നതിനായി സാധാരണയായി ഉപയോഗിക്കുന്ന ഒരു സോഫ്റ്റ്വെയർ ലൈബ്രറിയാണ് OpenSSL. ഒരു പ്രാമാണീകരണ സംവിധാനങ്ങളില്ലാതെ തന്നെ സെൻസിറ്റീവ് ഡാറ്റ ആക്‌സസ് ചെയ്യാൻ ആക്രമണകാരികളെ അനുവദിക്കുന്നു, ഇത് വളരെ അപകടകരമാക്കുന്നു.

അടിസ്ഥാനപരമായി, ഹാർട്ട്ബ്ലീഡ് ബഗ് ഓപ്പൺഎസ്എസ്എൽ ലൈബ്രറിയിലെ ഒരു നടപ്പിലാക്കൽ പിശകാണ്, ഇത് എൻക്രിപ്റ്റ് ചെയ്ത സെർവറിന്റെയോ ക്ലയന്റിന്റെയോ മെമ്മറി വായിക്കാൻ ആക്രമണകാരിയെ അനുവദിക്കുന്നു. ഇതിനർത്ഥം ഉപയോക്തൃനാമങ്ങൾ, പാസ്‌വേഡുകൾ, ക്രെഡിറ്റ് കാർഡ് നമ്പറുകൾ, മറ്റ് സെൻസിറ്റീവ് ഡാറ്റ എന്നിവ പോലുള്ള രഹസ്യ വിവരങ്ങൾ ഒരു ക്ഷുദ്രകരമായ നുഴഞ്ഞുകയറ്റക്കാരന് തുറന്നുകാട്ടപ്പെടാം എന്നാണ്. ഈ ബഗ് വിദൂരമായി പ്രയോജനപ്പെടുത്താം, കൂടാതെ നുഴഞ്ഞുകയറ്റക്കാരന് പിഴവ് മുതലെടുത്ത് എൻക്രിപ്റ്റ് ചെയ്ത ഡാറ്റ നേടാനാകും.

"ബഫർ ഓവർഫ്ലോ" യുടെ ഒരു ഉദാഹരണമാണ് ദുർബലത, അത് കൈകാര്യം ചെയ്യാൻ കഴിയുന്നതിനേക്കാൾ കൂടുതൽ ബൈറ്റുകൾ ഉള്ള ഒരു പ്രോഗ്രാമിലേക്ക് ഡാറ്റ അയയ്ക്കുമ്പോൾ സംഭവിക്കുന്നു. ഒരു ആക്രമണകാരിക്ക് ടാർഗെറ്റ് സിസ്റ്റത്തിലെ ഏത് മെമ്മറിയും ആക്‌സസ് ചെയ്യാനുള്ള ന്യൂനത ചൂഷണം ചെയ്യാൻ കഴിയും, ഇത് രഹസ്യ വിവരങ്ങൾ വെളിപ്പെടുത്താൻ സാധ്യതയുണ്ട്.

ബഗ് ലിനക്സ്, യുണിക്സ് അധിഷ്ഠിത സിസ്റ്റങ്ങളിൽ മാത്രമായി പരിമിതപ്പെടുത്തിയിട്ടുണ്ടെന്ന് ആദ്യം വിശ്വസിച്ചിരുന്നു, എന്നാൽ പിന്നീട് ഇത് ചില മൊബൈൽ സിസ്റ്റങ്ങൾ ഉൾപ്പെടെ മറ്റ് പല പ്ലാറ്റ്ഫോമുകളെയും ബാധിക്കുമെന്ന് കണ്ടെത്തി. 500 ദശലക്ഷത്തിലധികം കമ്പ്യൂട്ടറുകളെയും സെർവർ സിസ്റ്റങ്ങളെയും ബഗ് ബാധിച്ചതായും ഇൻറർനെറ്റിലെ എല്ലാ വെബ് സെർവറുകളിൽ ഏകദേശം മൂന്നിൽ രണ്ട് ഭാഗങ്ങളിലും ബാധിത സോഫ്‌റ്റ്‌വെയർ കണ്ടെത്തിയതായും കണക്കാക്കപ്പെട്ടിരിക്കുന്നു.

ബഗ് കണ്ടെത്തിയതിന് ശേഷം ബാധിതരായ വെണ്ടർമാർ വേഗത്തിൽ പാച്ച് ചെയ്തു, കൂടാതെ 2014 മെയ് മാസത്തിൽ കേടുപാടുകൾ പരിഹരിക്കുന്നതിനായി ഒരു പാച്ച് പുറത്തിറക്കി. ഈ പാച്ച് വ്യാപകമായി ലഭ്യമാണ്, കൂടാതെ ഓപ്പൺഎസ്എസ്എൽ സോഫ്‌റ്റ്‌വെയർ പ്രവർത്തിക്കുന്ന സിസ്റ്റങ്ങളിൽ ഇത് പ്രയോഗിക്കണം.

അപകടസാധ്യത ആറ് വർഷം മുമ്പ് കണ്ടെത്തിയെങ്കിലും, ആക്രമണകാരികളിൽ നിന്ന് സംരക്ഷണം ഉറപ്പാക്കാൻ ഉപയോക്താക്കൾക്ക് അവരുടെ സിസ്റ്റങ്ങൾ OpenSSL സോഫ്റ്റ്വെയറിന്റെ ഏറ്റവും പുതിയ പതിപ്പിലേക്ക് അപ്ഡേറ്റ് ചെയ്യേണ്ടത് ഇപ്പോഴും പ്രധാനമാണ്. കൂടാതെ, ഉപയോക്താക്കൾ അവരുടെ സിസ്റ്റങ്ങളെ കേടുപാടുകൾക്കായി പതിവായി നിരീക്ഷിക്കുകയും ശക്തമായ പാസ്‌വേഡുകൾ, ടു-ഫാക്ടർ പ്രാമാണീകരണം എന്നിവ പോലുള്ള അവരുടെ നെറ്റ്‌വർക്കുകൾ സുരക്ഷിതമാക്കുന്നതിനുള്ള നടപടികൾ കൈക്കൊള്ളുകയും വേണം.