INFORMASI KERENTANAN OpenSSL Heartbleed
    April 13, 2014, 5:48 a.m. Posted by: aka56

    ----------------------------------------------------------------------

    PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT

    Nomer: IDCERT 2014 - 0001

    Tanggal: 13-APR-2014

    Diperbaharui: 15-APR-2014

    =========================================

    INFORMASI KERENTANAN OpenSSL Heartbleed



    1.0 PENDAHULUAN



    ID-CERT menerima informasi dari sumber yang valid mengenai kerentanan yang ada pada versi OpenSSL 1.0.1 hingga 1.0.1f  yang dapat mengungkapkan informasi sensitif milik pengguna ke penyerang .



    Kerentanan ini memungkinkan setiap orang di Internet untuk membaca memori sistem dilindungi oleh versi rentan dari perangkat lunak OpenSSL . Ada kemungkinan bahwa ini dapat membahayakan kunci rahasia yang digunakan untuk mengidentifikasi penyedia layanan dan untuk mengenkripsi lalu lintas , nama dan password pengguna dan konten yang sebenarnya . Hal ini memungkinkan penyerang untuk membaca komunikasi , mencuri data langsung dari layanan dan pengguna serta untuk meniru layanan dan pengguna .



    2.0 Dampak



    Dampak dari kerentanan ini adalah remote , penyerang yang tidak berkepentingan mungkin dapat mengambil informasi sensitif , seperti kunci rahasia . Dengan menggunakan informasi sensitif , penyerang mungkin dapat mendekripsi , spoof , atau melakukan serangan man-in- the-middle pada lalu lintas jaringan yang seharusnya dapat dilindungi oleh OpenSSL .



    3.0 Rekomendasi:

    3.1 Menerapkan update



    Masalah Kerentanan ini dibahas dalam OpenSSL 1.0.1g . Pengguna dapat menghubungi vendor perangkat lunak masing-masing untuk memeriksa ketersediaan update .



    3.2 Nonaktifkan dukungan detak jantung OpenSSL



    Rekomendasi lain adalah untuk mengkompilasi ulang OpenSSL dengan - DOPENSSL_NO_HEARTBEATS FALG . Software yang menggunakan OpenSSL , seperti Apache atau Nginx memerlukan restart sistem agar update berpengaruh pada sistem . Pengguna akhir dapat menghubungi vendor perangkat lunak masing-masing untuk mengkompilasi ulang OpenSSL .



    ID-CERT menyarankan pengguna produk ini untuk menjaga diri serta selalu memperbaharui dengan pengumuman keamanan terbaru oleh vendor . Jika pengguna memiliki pertanyaan mengenai hal ini , silahkan menghubungi kami melalui saluran berikut :

     

    http://www.cert.or.id/kontak/id/

    REFERENSI

    1- MyCERT <http://www.mycert.org.my/en/services/advisories/mycert/2014/main/detail/963/index.html>

    2- MOCERT <http://www.mocert.org/index.php?option=com_content&view=article&id=4437:openssl-bug-heartbleed-critical-patch&catid=53:specialalerts&Itemid=74&lang=en>

    3- CVE-2014-0160 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

    4- Fixed OpenSSL https://www.openssl.org/news/secadv_20140407.txt

    5- Heartbleed Check http://filippo.io/Heartbleed/

    6- Heartbleed Information http://heartbleed.com/

    7- http://www.kb.cert.org/vuls/id/720951