Heartbleed


Logo yang melambangkan kutu Heartbleed. Logo dan nama "Heartbleed" telah membantu menyadarkan masyarakat akan adanya kutu perangkat lunak ini.[1][2]

Heartbleed adalah kutu perangkat lunak dalam pustaka perangkat lunak kriptografi OpenSSL yang memungkin seorang pelanggar untuk membaca isi memori dari peladen atau klien yang berkomunikasi dengan protokol TLS lewat pustaka tersebut; ini memungkinkan si pelanggar mencatut informasi-informasi rahasia seperti kunci pribadi peladen atau data-data yang sebelumnya dikirim atau diterima oleh peladen atau klien bersangkutan.[3][4] Ada petunjuk bahwa ada kemungkinan ada beberapa situs yang peladennya dijebol dengan cara ini 5 bulan sebelum kutu ini ditemukan.[5][6][7]

Layanan dan Situs Web yang Terkena

Daftar ini dari daftar "Alexa Top 1000" yang rentan sampai dengan tanggal 8 April 2014.[8]

  • 123RF.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[9]
  • 500px (diperbaiki pada atau sebelum tanggal 10 April 2014)[10]
  • AddThis (diperbaiki pada atau sebelum tanggal 10 April 2014)[11]
  • adf.ly (heartbleed: timeout pada 10 April 2014)[12]
  • amung.us (diperbaiki pada atau sebelum tanggal 10 April 2014)[13]
  • Internet Archive (diperbaiki pada atau sebelum tanggal 10 April 2014)[14]
  • avazutracking.net (diperbaiki pada atau sebelum tanggal 10 April 2014)[15]
  • avito.ru (diperbaiki pada atau sebelum tanggal 10 April 2014)[16]
  • beeg.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[17]
  • digitalpoint.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[18]
  • Dreamstime (diperbaiki pada atau sebelum tanggal 10 April 2014)[19]
  • DuckDuckGo (diperbaiki pada atau sebelum tanggal 10 April 2014)[20]
  • elegantthemes.com (heartbleed: timeout pada 10 April 2014)[21]
  • Entrepreneur.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[22]
  • Eventbrite (diperbaiki pada atau sebelum tanggal 10 April 2014)[23]
  • Flickr[24] (diperbaiki pada atau sebelum tanggal 10 April 2014)[25]
  • The Motley Fool (diperbaiki pada atau sebelum tanggal 10 April 2014)[26]
  • hidemyass.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[27]
  • Imgur[24] (diperbaiki pada atau sebelum tanggal 10 April 2014)[28]
  • Kaskus (dial tcp 103.6.117.3:443: I/O timeout on 10 April 2014)[29]
  • KickassTorrents (diperbaiki pada atau sebelum tanggal 10 April 2014)[30]
  • LEO (diperbaiki pada atau sebelum tanggal 10 April 2014)[31]
  • Merriam-Webster (m-w.com) (diperbaiki pada atau sebelum tanggal 10 April 2014)[32]
  • OkCupid (heartbleed: timeout on 10 April 2014)[33]
  • Outbrain (diperbaiki pada atau sebelum tanggal 10 April 2014)[34]
  • Publishers Clearing House (diperbaiki pada atau sebelum tanggal 10 April 2014)[35]
  • PetFlow (diperbaiki pada atau sebelum tanggal 10 April 2014)[36]
  • PicMonkey (diperbaiki pada atau sebelum tanggal 10 April 2014)[37]
  • popads.net (masih rentan pada tanggal 10 April 2010)[38]
  • RedTube (diperbaiki pada atau sebelum tanggal 10 April 2014)[39]
  • scoop.it (diperbaiki pada atau sebelum tanggal 10 April 2014)[40]
  • Seznam.cz (diperbaiki pada atau sebelum tanggal 10 April 2014)[41]
  • sh.st (diperbaiki pada atau sebelum tanggal 10 April 2014)[42]
  • Slate (dial tcp 107.20.144.3:443: connection refused 10 April 2014)[43]
  • Sogou (diperbaiki pada atau sebelum tanggal 10 April 2014)[44]
  • Squidoo (diperbaiki pada atau sebelum tanggal 10 April 2014)[45]
  • Stack Exchange (diperbaiki pada atau sebelum tanggal 10 April 2014)[46]
  • Stack Overflow (diperbaiki pada atau sebelum tanggal 10 April 2014)[47]
  • SteamCommunity (diperbaiki pada atau sebelum tanggal 10 April 2014)[48]
  • Suning Appliance (diperbaiki pada atau sebelum tanggal 10 April 2014)[49]
  • Us Weekly (heartbleed: timeout 10 April 2014)[50]
  • WEB.DE (diperbaiki pada atau sebelum tanggal 10 April 2014)[51]
  • WeTransfer (diperbaiki pada atau sebelum tanggal 10 April 2014)[52]
  • XDA Developers (diperbaiki pada atau sebelum tanggal 10 April 2014)[53]
  • Yahoo![24] (diperbaiki pada atau sebelum tanggal 10 April 2014)[54]
  • yts.re (diperbaiki pada atau sebelum tanggal 10 April 2014)[55]
  • Zeobit (diperbaiki pada atau sebelum tanggal 10 April 2014)[56]
  • Zoho Office Suite (diperbaiki pada atau sebelum tanggal 10 April 2014)[57]

Situs-situs ini menganjurkan para pengguna untuk mengganti kata sandi mereka:

LogMeIn mengklaim sudah memperbarui semua bagian yang tergantung pada OpenSSL ("updated many products and parts of our services that rely on OpenSSL").[74]

Layanan LastPass Password Manager sendiri tidak rentan karena memakai metode kerahasiaan ke depan, tapi menganjurkan pengguna untuk mengganti kumpulan kata sandi untuk situs yang rentan yang disimpan dalam layanan ini.[75]

Menguji Kerentanan

Beberapa layanan diadakan untuk menguji apakah ada kutu Heartbleed dalam satu situs web, antara lain:

  • Heartbleed Scanner oleah ahli kriptologi Italia Filippo Valsorda[76]
  • Modul pemindai Heartbleed Metasploit[77]
  • Heartbleed Server Scanner oleh Rehmann[78]

Referensi

  1. ^ McKenzie, Patrick (April 9, 2014). "What Heartbleed Can Teach The OSS Community About Marketing". Diakses tanggal April 10, 2014. 
  2. ^ Biggs, John (April 9, 2014). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch. Diakses tanggal 10 April 2014. 
  3. ^ Chen, Brian X. (April 9, 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times. Diarsipkan dari versi asli tanggal 2014-04-12. Diakses tanggal April 10, 2014. 
  4. ^ Manjoo, Farhad (April 10, 2014). "Users' Stark Reminder: As Web Grows, It Grows Less Secure". New York Times. Diarsipkan dari versi asli tanggal 2023-04-11. Diakses tanggal April 10, 2014. 
  5. ^ Gallagher, Sean (April 9, 2014). "Heartbleed vulnerability may have been exploited months before patch". Ars Technica. Diarsipkan dari versi asli tanggal 2014-04-11. Diakses tanggal April 10, 2014. 
  6. ^ ""No, we weren't scanning for hearbleed before April 7"". Diarsipkan dari versi asli tanggal 2017-10-16. Diakses tanggal 2014-04-10. 
  7. ^ "Were Intelligence Agencies Using Heartbleed in November 2013?" Diarsipkan 2014-12-05 di Wayback Machine., April 10, 2014, Peter Eckersley, EFF.org
  8. ^ "heartbleed-masstest/top1000.txt". GitHub. April 8, 2014. Diarsipkan dari versi asli tanggal 2014-04-10. Diakses tanggal April 9, 2014. 
  9. ^ 123rf.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  10. ^ 500px.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  11. ^ addthis.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  12. ^ adf.ly Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  13. ^ amung.us Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  14. ^ archive.org Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  15. ^ avazutracking.net Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  16. ^ avito.ru Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  17. ^ beeg.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  18. ^ digitalpoint.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  19. ^ dreamstime.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  20. ^ duckduckgo.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  21. ^ elegantthemes.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  22. ^ entrepreneur.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  23. ^ eventbrite.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  24. ^ a b c d Hern, Alex (April 9, 2014). "Heartbleed: don't rush to update passwords, security experts warn". The Guardian. Diarsipkan dari versi asli tanggal 2015-01-07. Diakses tanggal April 9, 2014. 
  25. ^ flickr.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  26. ^ fool.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  27. ^ hidemyass.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  28. ^ imgur.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  29. ^ kaskus.co.id Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  30. ^ kickass.to Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  31. ^ leo.org Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  32. ^ m-w.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  33. ^ okcupid.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  34. ^ outbrain.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  35. ^ pch.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  36. ^ petflow.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  37. ^ picmonkey.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  38. ^ popads.net Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  39. ^ redtube.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  40. ^ scoop.it Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  41. ^ seznam.cz Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  42. ^ sh.st Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  43. ^ slate.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  44. ^ sogou.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  45. ^ squidoo.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  46. ^ stackexchange.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  47. ^ stackoverflow.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  48. ^ steamcommunity.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  49. ^ suning.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  50. ^ usmagazine.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  51. ^ web.de Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  52. ^ wetransfer.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  53. ^ xda-developers.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  54. ^ yahoo.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  55. ^ yts.re Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  56. ^ zeobit.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  57. ^ zoho.com Heartbleed test Diarsipkan 2017-12-11 di Wayback Machine. by filippo.io
  58. ^ "Heartbleed FAQ: Akamai Systems Patched". Akamai Technologies. April 8, 2014. Diarsipkan dari versi asli tanggal 2014-04-08. Diakses tanggal April 9, 2014. 
  59. ^ "AWS Services Updated to Address OpenSSL Vulnerability". Amazon Web Services. April 8, 2014. Diarsipkan dari versi asli tanggal 2014-04-11. Diakses tanggal April 9, 2014. 
  60. ^ "Dear readers, please change your Ars account passwords ASAP". Ars Technica. April 8, 2014. Diarsipkan dari versi asli tanggal 2017-01-18. Diakses tanggal April 9, 2014. 
  61. ^ "All Heartbleed upgrades are now complete". BitBucket Blog. April 9, 2014. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 9, 2014. 
  62. ^ "Keeping Your BrandVerity Account Safe from the Heartbleed Bug". BrandVerity Blog. April 9, 2014. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 10, 2014. 
  63. ^ "Security: Heartbleed vulnerability". GitHub. April 8, 2014. Diarsipkan dari versi asli tanggal 2014-04-10. Diakses tanggal April 9, 2014. 
  64. ^ "IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed". LifeHacker. April 8, 2014. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 9, 2014. 
  65. ^ "The widespread OpenSSL 'Heartbleed' bug is patched in PeerJ". PeerJ. April 9, 2014. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 9, 2014. 
  66. ^ Codey, Brendan (April 9, 2014). "Security Update: We're going to sign out everyone today, here's why". SoundCloud. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 9, 2014. 
  67. ^ Codey, Brendan (April 10, 2014). "Sourceforge response to heartbleed". SoundCloud. Diarsipkan dari versi asli tanggal 2014-04-11. Diakses tanggal April 10, 2014. 
  68. ^ "Heartbleed". SparkFun. April 9, 2014. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 9, 2014. 
  69. ^ "Heartbleed". Stripe (company). April 9, 2014. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 10, 2014. 
  70. ^ "Tumblr Staff-Urgent security update". April 8, 2014. Diarsipkan dari versi asli tanggal 2014-04-09. Diakses tanggal April 9, 2014. 
  71. ^ Grossmeier, Greg (April 8, 2014). "[Wikitech-l] Fwd: Security precaution - Resetting all user sessions today". Wikimedia Foundation. Diarsipkan dari versi asli tanggal 2014-06-18. Diakses tanggal April 9, 2014.  horizontal tab character di |title= pada posisi 68 (bantuan)
  72. ^ Grossmeier, Greg (April 10, 2014). "Wikimedia's response to the "Heartbleed" security vulnerability". Wikimedia Foundation blog. Wikimedia Foundation. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal 10 April 2014. 
  73. ^ "Wunderlist & the Heartbleed OpenSSL Vulnerability". April 10, 2014. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal 2014-04-10. 
  74. ^ "LogMeIn and OpenSSL". LogMeIn. Diarsipkan dari versi asli tanggal 2014-04-13. Diakses tanggal April 10, 2014. 
  75. ^ "LastPass and the Heartbleed Bug". LastPass. April 8, 2014. Diarsipkan dari versi asli tanggal 2017-12-18. Diakses tanggal April 10, 2014. 
  76. ^ Heartbleed Scanner Diarsipkan 2014-04-10 di Wayback Machine." by Italian cryptologist Filippo Valsorda
  77. ^ Metasploit module Diarsipkan 2015-06-28 di Wayback Machine.
  78. ^ "Heartbleed Server Scanner". Diarsipkan dari versi asli tanggal 2014-12-24. Diakses tanggal 2014-04-10. 

Pranala luar