OpenSSL Heartbleed Zafiyeti (CVE-2014-0160)

7 Mayıs 2014 akşamı OpenSSL yazılımında ciddi bir zafiyet bulunduğu ve bu zafiyet ile OpenSSL kullanan bir sunucu sistemin belleğindeki verilerin uzaktan okunabilmesine imkan oluştuğu tespit edildi. Bu yolla SSL/TLS ile şifrelenen her tür verinin, özel anahtarların (private key), kullanıcı adı ve şifrelerin, çerezlerin (cookie) ve benzeri hassas verilerin ilgili sunucunun belleğinden 64 KB’lık bölümler halinde okunabilmesi mümkün olabiliyor. TLS’in "heartbeat" eklentisinde ki bir hatadan kaynaklanan bu zafiyet sayesinde İnternet üzerindeki herhangi birisi, zafiyet içeren OpenSSL 1.0.1 - 1.0.1f arası sürümleri kullanan herkesin bir an önce, açığın bulunmasının hemen ardından yayınlanan OpenSSL 1.0.1g sürümüne terfi etmeleri gerekiyor

Sorun protokolde değil sadece spesifik OpenSSL uygulamasında olduğundan aynı protokolü gerçekleyen GnuTLS ve NSS (Mozilla) gibi diğer TLS yazılımlarında aynı açıklık mevcut değil.

Açıklıktan etkilenip etkilenmediğinizi aşağıdaki adreslerden kontrol edebilirsiniz:
http://filippo.io/Heartbleed/
http://possible.lv/tools/hb/