{"id":477441,"date":"2023-08-09T09:15:09","date_gmt":"2023-08-09T09:15:09","guid":{"rendered":""},"modified":"2023-09-05T11:14:42","modified_gmt":"2023-09-05T11:14:42","slug":"heartbleed","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/my\/wiki\/heartbleed\/","title":{"rendered":"Heartbleed"},"content":{"rendered":"<p>Heartbleed ialah kelemahan kritikal yang ditemui dalam perpustakaan perisian kriptografi OpenSSL, membenarkan pencurian maklumat yang dilindungi oleh penyulitan SSL\/TLS yang digunakan untuk melindungi Internet.<\/p>\n<h2>Gambaran Keseluruhan Sejarah: Membongkar Heartbleed<\/h2>\n<p>Heartbleed pertama kali didedahkan secara terbuka pada April 2014, ditemui secara bebas oleh jurutera keselamatan di Codenomicon dan Google. Ia adalah pepijat keselamatan dalam perpustakaan kriptografi OpenSSL, salah satu perpustakaan paling popular untuk perlindungan kriptografi di Internet. Ia dinamakan sedemikian kerana ia ditemui dalam bahagian &quot;denyutan jantung&quot; perpustakaan OpenSSL, iaitu sistem yang digunakan untuk memastikan sambungan hidup walaupun data tidak dikongsi.<\/p>\n<h2>Memperluas pada Heartbleed: Pandangan Lebih Dalam<\/h2>\n<p>Heartbleed secara khusus memberi kesan kepada sambungan &quot;degupan jantung&quot; OpenSSL. Ini ialah ciri pilihan dalam pelaksanaan OpenSSL bagi protokol Transport Layer Security (TLS), yang digunakan untuk mengekalkan sambungan selamat antara klien dan pelayan.<\/p>\n<p>Kerentanan wujud dalam cara permintaan degupan jantung diproses. Dengan menghantar permintaan degupan jantung yang direka dengan berniat jahat, penyerang boleh menipu pelayan atau pelanggan untuk menghantar semula sejumlah besar data yang disimpan dalam ingatannya, jauh melebihi skop degupan jantung yang dimaksudkan.<\/p>\n<h2>Mekanisme Dalaman: Bagaimana Heartbleed Berfungsi<\/h2>\n<p>Mekanisme degupan jantung dalam OpenSSL berfungsi dengan menghantar permintaan kepada pelayan (permintaan &quot;degupan jantung&quot;) dengan muatan dan panjang muatan. Pelayan kemudian mengulangi semula muatan untuk mengesahkan bahawa ia masih dalam talian dan mendengar.<\/p>\n<p>Walau bagaimanapun, pepijat Heartbleed timbul kerana OpenSSL tidak mengesahkan bahawa panjang muatan yang dihantar dalam permintaan sepadan dengan muatan sebenar. Penyerang boleh menghantar permintaan degupan jantung dengan muatan yang kecil tetapi memberitahu pelayan bahawa ia menghantar muatan yang lebih besar, memperdaya pelayan untuk menghantar semula sehingga 64 kilobait memorinya. Memori ini boleh mengandungi apa-apa sahaja daripada nama pengguna dan kata laluan kepada kunci yang digunakan untuk penyulitan SSL.<\/p>\n<h2>Ciri Utama Heartbleed<\/h2>\n<ul>\n<li><strong>Kebocoran Data:<\/strong> Heartbleed boleh mendedahkan sejumlah besar data daripada memori pelayan, termasuk maklumat sensitif seperti kunci peribadi, nama pengguna dan kata laluan.<\/li>\n<li><strong>Tidak dapat dikesan:<\/strong> Eksploitasi pepijat Heartbleed tidak meninggalkan kesan, menjadikannya sukar untuk dikesan dan menentukan sama ada sistem telah terjejas.<\/li>\n<li><strong>Impak yang luas:<\/strong> Memandangkan penggunaan OpenSSL yang meluas, potensi skop kerentanan Heartbleed adalah besar, menjejaskan sebahagian besar pelayan web di Internet.<\/li>\n<\/ul>\n<h2>Jenis Serangan Berdarah Hati<\/h2>\n<p>Kerentanan Heartbleed boleh nyata dalam pelbagai cara, terutamanya berdasarkan jenis binaan OpenSSL yang digunakan dan peranan entiti yang terlibat.<\/p>\n<table>\n<thead>\n<tr>\n<th>Jenis Serangan<\/th>\n<th>Penerangan<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Heartbleed sebelah pelayan<\/td>\n<td>Penyerang menghantar permintaan degupan jantung berniat jahat kepada pelayan, memperdayakannya untuk bertindak balas dengan lebih banyak data daripada yang sepatutnya.<\/td>\n<\/tr>\n<tr>\n<td>Heartbleed di pihak pelanggan<\/td>\n<td>Penyerang menipu pelanggan untuk menyambung ke pelayan berniat jahat, mengeksploitasi kerentanan Heartbleed dalam pustaka OpenSSL pelanggan.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Menangani Heartbleed: Masalah dan Penyelesaian<\/h2>\n<p>Eksploitasi Heartbleed menimbulkan masalah keselamatan yang teruk. Ia boleh mendedahkan maklumat sensitif, menjejaskan kunci kriptografi dan banyak lagi. Walau bagaimanapun, beberapa penyelesaian telah dilaksanakan:<\/p>\n<ul>\n<li><strong>Menampal:<\/strong> Mengemas kini OpenSSL kepada versi yang tidak mengandungi kerentanan Heartbleed (OpenSSL 1.0.1g dan lebih baru) ialah penyelesaian yang paling langsung.<\/li>\n<li><strong>Putaran Kekunci:<\/strong> Selepas menampal, adalah penting untuk menukar semua kunci dan sijil yang mungkin telah didedahkan.<\/li>\n<li><strong>Perubahan Kata Laluan:<\/strong> Pengguna harus menukar kata laluan mereka selepas perkhidmatan yang terdedah telah menambal pelayan mereka.<\/li>\n<\/ul>\n<h2>Perbandingan dengan Kerentanan Serupa<\/h2>\n<p>Walaupun Heartbleed adalah kelemahan yang unik, terdapat orang lain yang turut menjejaskan keselamatan internet, seperti Shellshock dan PODLE. Kerentanan ini berbeza-beza dari segi perisian yang terjejas, kesan dan kebolehgunaan.<\/p>\n<h2>Perspektif dan Teknologi Masa Depan<\/h2>\n<p>Heartbleed telah mempengaruhi pembangunan protokol dan amalan keselamatan yang lebih baik, yang membawa kepada mekanisme yang lebih baik untuk mencari dan menampal kelemahan tersebut. Insiden itu telah menyerlahkan kepentingan audit keselamatan tetap, ujian automatik, dan keperluan penampalan serta kemas kini segera.<\/p>\n<h2>Pelayan Proksi dan Heartbleed<\/h2>\n<p>Pelayan proksi berdiri sebagai perantara untuk permintaan daripada pelanggan yang mencari sumber daripada pelayan lain. Jika pelayan proksi menggunakan OpenSSL, ia mungkin terdedah kepada Heartbleed, yang berpotensi membocorkan maklumat klien dan pelayan yang sensitif.<\/p>\n<p>Walau bagaimanapun, menggunakan pelayan proksi yang dikemas kini dan selamat juga boleh menjadi sebahagian daripada strategi perlindungan terhadap Heartbleed. Dengan memastikan bahawa semua trafik diarahkan melalui proksi selamat, syarikat boleh menambah lapisan perlindungan tambahan untuk rangkaian dalaman mereka.<\/p>\n<h2>Pautan berkaitan<\/h2>\n<p>Untuk maklumat lebih terperinci tentang Heartbleed, anda boleh menyemak sumber berikut:<\/p>\n<ul>\n<li><a href=\"http:\/\/heartbleed.com\/\" target=\"_new\" rel=\"noopener nofollow\">Laman Web Rasmi Heartbleed<\/a><\/li>\n<li><a href=\"https:\/\/www.openssl.org\/\" target=\"_new\" rel=\"noopener nofollow\">Projek OpenSSL<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-0160\" target=\"_new\" rel=\"noopener nofollow\">Pangkalan Data Kerentanan Kebangsaan<\/a><\/li>\n<li><a href=\"https:\/\/xkcd.com\/1354\/\" target=\"_new\" rel=\"noopener nofollow\">Penjelasan Heartbleed oleh xkcd<\/a><\/li>\n<li><a href=\"https:\/\/tools.ietf.org\/html\/rfc6520\" target=\"_new\" rel=\"noopener nofollow\">RFC 6520: Sambungan Denyutan Jantung Keselamatan Lapisan Pengangkutan (TLS) dan Keselamatan Lapisan Pengangkutan Datagram (DTLS)<\/a><\/li>\n<\/ul>","protected":false},"featured_media":468533,"menu_order":0,"template":"","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"footnotes":""},"class_list":["post-477441","wiki","type-wiki","status-publish","has-post-thumbnail","hentry"],"acf":{"faq_title":"Frequently Asked Questions about <mark>Heartbleed: A Comprehensive Guide<\/mark>","faq_items":[{"question":"What is Heartbleed?","answer":"<p>Heartbleed is a significant vulnerability in the OpenSSL cryptographic software library that allows an attacker to steal information that's normally protected by SSL\/TLS encryption, which is used to secure the Internet.<\/p>"},{"question":"When was Heartbleed first discovered?","answer":"<p>Heartbleed was first publicly disclosed in April 2014, discovered independently by security engineers at Codenomicon and Google.<\/p>"},{"question":"How does the Heartbleed bug work?","answer":"<p>Heartbleed exploits a flaw in the \"heartbeat\" feature of OpenSSL. An attacker sends a malformed heartbeat request to a server, indicating a large payload size but only sending a small one. Since OpenSSL doesn't verify that the payload size matches the actual payload, the server ends up sending back up to 64 kilobytes of its memory.<\/p>"},{"question":"What types of attacks can occur due to Heartbleed?","answer":"<p>Heartbleed vulnerability can manifest in server-side and client-side attacks. In a server-side attack, an attacker sends malicious heartbeat requests to the server, while in a client-side attack, an attacker tricks a client into connecting to a malicious server, exploiting the Heartbleed vulnerability in the client's OpenSSL library.<\/p>"},{"question":"What steps can be taken to address the Heartbleed vulnerability?","answer":"<p>The primary steps to address the Heartbleed vulnerability involve patching the OpenSSL software to a version that doesn't contain the Heartbleed vulnerability, rotating all keys and certificates that could have been revealed, and changing user passwords after a vulnerable service has patched their servers.<\/p>"},{"question":"How does Heartbleed relate to proxy servers?","answer":"<p>If a proxy server uses OpenSSL, it could be vulnerable to Heartbleed, which can potentially leak sensitive client and server information. However, by directing all traffic through a secure, updated proxy server, it can add an additional layer of protection against Heartbleed.<\/p>"},{"question":"What impact has Heartbleed had on future technologies and security protocols?","answer":"<p>Heartbleed has prompted the development of improved security protocols and practices. It has highlighted the need for regular security audits, automated testing, and timely patching and updates.<\/p>"},{"question":"Where can I find more detailed information about Heartbleed?","answer":"<p>More detailed information on Heartbleed can be found on the official Heartbleed website, OpenSSL Project site, the National Vulnerability Database, and through other resources such as an explanation comic by xkcd and the official RFC document on the TLS and DTLS Heartbeat Extension.<\/p>"}]},"_links":{"self":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/wiki\/477441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/wiki"}],"about":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/types\/wiki"}],"version-history":[{"count":0,"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/wiki\/477441\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/media\/468533"}],"wp:attachment":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/media?parent=477441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}