sarwan يوللانغان ۋاقتى 2014-4-14 11:52:04

Internet تىكى «يۈرەك زىدىسى»

Internet تىكى «يۈرەك زىدىسى»

بۇ يىل(2014-يىلى) 4- ئاينىڭ 1- كۈنى گۇگۇل شىركىتىدىكى بىخەتەرلىك خادىملىرى internet تورىدىكى ئەڭ چوڭ بىخەتەرلىك يۇچۇقى «يۈرەك زىدىسى(heartbleed)» نى ئېلان قىلدى. خەلقئارادىكى تور مۇلازىمەت تەمىنلىگۈچىلەر ئۆرە تۆپە بوپ كەتتى. بەزى مەلۇماتلارغا قارىغاندا پۈتۈن دۇنيادىكى 17 پىرسەنت تور مۇلازىمېتىرى بۇ يۇچۇقنىڭ تەسىرىگە ئۇچرايدىكەن. ھەتتا بەزى تور بىخەتەرلىك ئورۇنلىرى «نەچچە كۈنگىچە تورغا يېقىن كەلمەڭ»، «پارولىڭىزنى ئۆزگەرتسىڭىزمۇ خەتەرلىك» دېگەندەك ئاگاھلاندۇرۇشلارنى ئېلان قىلدى.

بەزى جەزىملەشتۈرۈلمىگەن خەۋەرلەرگە قارىغاندا NSA (ئامىركا دۆلەتلىك بىخەتەرلىك ئىدارىسى) بۇ يۇچۇقنىڭ مەۋجۇت ئىكەنلىكىنى بۇرۇنلا بىلىدىغان بولۇپ ئىككى يىلدىن بۇيان بۇ يۇچۇقتىن پايدىلىنىپ باشقىلارنىڭ مەخپىي ئۇچۇرلىرىغا ئىرىشىپ كەلگەن.

ئۇنداقتا «يۈرەت زىدىسى» دېگەن نېمە؟
Internet تورىدا يەتكۈزىلىدىغان مۇتلەق كۆپ قىسىم مەخپى ئۇچۇرلار TLS كىلىشىمى بۇيىچە يوللىنىدۇ. بۇ كىلىشىم ئۇچۇرلارنىڭ مۇلازىمېتىر بىلەن ئابونىت ئارلىقىدا بىخەتەر يۈرۈشىشىگە كاپالەتلىك قىلىدۇ. يەنى ئۇچۇرلار مەخپىيلەشتۈرلۈپ ئاندىن ئابونتقا يوللىنىدۇ. ئابونىت تەرەپكە كەلگەندە ئاندىن ئۇنى يىشىپ كۆرگىلى بولىدۇ. TLS كېلىشىمىنى نۇرغۇن شىركەت ياكى ئورۇنلار ئۆزىنىڭ يۇمشاق دېتالىدا ئەمەلگە ئاشۇرۇپ ئىشلىتىدۇ. OpenSSL بولسا TLS كېلىشىنى ئەمەلگە ئاشۇرغان ئوچۇق كودلۇق، ئەڭ كەڭ ئىشلىتىلگەن تۈر(يۇمشاق دېتال). OpenSSL تۈرىنى مۇتلەق كۆپ قىسىم linux مەشغۇلات سىستېمىلىرى ئۆزىنىڭ internet تورىدىكى ئالاقىسىنىڭ بىخەتەرلىكى ئۈچۈن ئىشلەتكەن. بۇيەردىكى چاتاق OpenSSL دىن چىققان. OpenSSL نىڭ ئەسلى كودىدىكى كىچىككىنە بىر نوقسان مۇلازىمېتىرنىڭ ئىچكى ساقلىغۇچىدىكى 64kb ئۇچۇرنى بىۋاستە ئوقۇشقا يول قويغان. يامان نىيەتتىكى كىشىلەر بۇ يۇچۇقتىن پايدىلىنىپ ئىشلەتكۈچىلەرنىڭ نامى، پارولىنى ئۆز ئىچىگە ئالغان باشقا ئۇچۇرلىرىغا بىۋاستە ئىرىشەلەيدۇ.
OpenSSL يۇمشاق دېتالىنى ئىشلەتكەن مۇلازىمېتىرلارنىڭ ھەممىسىدە بۇ يۇچۇق مەۋجۇت. Linux نىڭ ھەقسىز ياكى باھاسىنىڭ ئەرزانلىقى، چوڭ Internet كارخانىلىرىنىڭ ئۇنى ئۆز ئىھتىياجىغا ئاساسەن ئۆزگەرتىپ ئىشلىتەلىشى قاتارلىق ئالاھىيدىلىكلەر ئۇنى تور مۇلازىمىتىگە كەڭ كۆلەمدە ئىشلىتىش ئىمكانىيىتىگە ئىگە قىلغان. دېمەك بۇ يۇچۇقنىڭ چېتىلىش دائىرسى بەك كەڭرى. ھەتتا گۇگۇل(google) ۋە ياھۇ(yahoo)لارمۇ بۇنىڭ تەسىرىگە ئۇچرىغان.

Heartbleed_bug_explained.svg

بۇ يۇچۇققا نىمىشقا «يۈرەك زىدىسى» دەپ نام بىرىلگەن؟
OpenSSL تۈرىنىڭ ئىچىدىكى TLS كېلىشىمىنى ئەمەلگە ئاشۇرغان قوشۇلما(extension)نىڭ ئىسمى يۈرەك رىتىمى(heartbeat) دەپ ئاتالغان. بۇ يۇچۇق(bug) دەل مۇشۇ يۈرەك رىتىمىدىن چىققان. شۇڭا بۇ يۇچۇقنىڭ ئىسمىنى ماس قىلىپ يۈرەك زىدىسى(heartbleed) دەپ قويغان.

«يۈرەك زىدىسى» كىملەرگە تەسىر قىلىدۇ؟
OpenSSL يۇمشاق دېتالىنى قوللانغان مۇلازىمېتىرنىڭ بارلىق ئابونىتلىرىنىڭ بۇنىڭ تەسىرىگە ئۇچراش ئىھتىماللىقى بار. بولۇپمۇ ئېلخەت، تور پاراڭ قۇراللىرى، بىرقىسىم VPN مۇلازىمەتلىرىمۇ مۇشۇنىڭ ئىچىدە.

«يۈرەك زىدىسى» قاچان ساقىيىدۇ؟
نەزىرىيە جەھەتتىن گۇگۇل، ياھۇ قاتارلىق شىركەتلەر ناھايىتى تىزلىكتە ئۆز مۇلازىمېتىرىدىكى بۇ يۇچۇقنى ئوڭشاپ بولغانلىقىنى ئېلان قىلدى. OpenSSL مۇ 4-ئاينىڭ 7-كۈنى ئۆزىنىڭ يۇمشاق دېتالىدىكى يۇچۇقنى ئوڭشاپ يېڭى نەشرىنى تارقاتقانلىقىنى ئېلان قىلدى. ئەمدىكى گەپ OpenSSL ئىشلەتكۈچىلەرنىڭ يۇمشاق دېتالىنى يېڭىلاپ بولىشىغا باغلىق.

تۆۋەندىكى مەشغۇلات سىستېمىلىرىدا بۇ يۇچۇق مەۋجۇت:
• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

ئەسلى مەنبەسى: سارۋان بىلوگى
مەنزىل:http://www.elierkin.com/blog/news/heartbleed/

izchilar يوللانغان ۋاقتى 2014-4-14 17:07:12

ماۋزۇسىغا قاراپ بىرەر مۇھەببەت پوۋىستىمىكى دەپتىمەن:lol
ئالدىنقى ھەپتە خەۋەر كۆرسەم ھازچە ئەڭ ياخشىسى ھەرقانداق ئىشلەتكەن تور مەھسۇلاتلىرىڭىزنىڭ مەخپىي نومۇرىنى ئۆزگەرتىڭدەپتۇ.

Birhon يوللانغان ۋاقتى 2014-4-14 17:54:26

ئارىمىزدا بۇنىڭ خەتىرىگە ئۇچرىغانلار بارمىدۇ؟
تور ئىشلەتكەندىن بۇيان... 5 قېتىمدەك QQ نومۇرۇمنى ئوغرىغا بېرىپ بولدۇم. مەن ھېلىقى بىر نېمە باۋخۇ دېگەنلىرىنىمۇ قىلغان. شۇڭا ئۆمرۈمنىڭ ئاخىرىغىچە تېڭشۈن شىركىتىنىڭ نەرسىلىرىگە ئىشەنمەيمەن! باشقا تور مۇلازىمەتلىرىمدىن ھەرھالدا چوڭ چاتاق چىقىپ باقمىدى.

parakende يوللانغان ۋاقتى 2014-4-14 18:37:58

Birhon يوللىغان ۋاقتى2014-4-14 17:54 static/image/common/back.gif
ئارىمىزدا بۇنىڭ خەتىرىگە ئۇچرىغانلار بارمىدۇ؟
تور ئىش ...

ئوغرىغا ئىشەنمەسلىك ئاددى قائىدىغۇ

izqi1991 يوللانغان ۋاقتى 2014-4-14 19:19:55

英雄联盟 ئوينايدىغانلارنىڭ QQ رى كۆپ ئوغۇرلىنىدىكەن ، مەن ئوينىمايمەن ، ئەمما QQ رىمنى ئىچكىردىكى بىرسى ئىچىۋاپتىكەن ، ئىمنى ئۆزگەرتىۋەتتىم

niyazdixan يوللانغان ۋاقتى 2014-4-14 23:35:27

توردا ئىملا توغرىلايدىغان تور بەت ئېچىلمايدىغان بولۇپ قاپتۇ. سىزنىڭ تور بېتىڭىزتى ھە؟
بەت: [1]
: Internet تىكى «يۈرەك زىدىسى»