Soru Heartbleed: Bu nedir ve onu hafifletmek için seçenekler nelerdir?


Bu bir Kanonik Soru Heartbleed güvenlik sorununu anlamak ve düzeltmek hakkında.

CVE-2014-0160 AKA "Heartbleed" tam olarak nedir? OpenSSL'nin hangi işletim sistemleri ve hangi sürümleri savunmasız olduğu, nedenleri nelerdir, başarılı bir istismarın tespit edilmesi için herhangi bir yöntem var mı?

Sistemimin etkilenip etkilenmediğini nasıl kontrol edebilirim? Bu güvenlik açığı nasıl hafifletilebilir? Anahtarlarım veya diğer özel verilerimin tehlikeye girmesinden endişelenmeli miyim? Hangi diğer yan etkiler konusunda endişelenmeliyim?


204
2018-04-08 00:26


Menşei


Heartbleed için Azaltım gerektirir Daha sadece yeni anahtarlardan. (Bilgi Güvenliği StackExchange'deki cevabımla bağlantı) - scuzzy-delta
Seni duyuyorum ama sanırım EEAA oldukça kapsamlı bir şekilde bunu kapsıyor. - MadHatter
Katılıyorum: bu harika bir cevap ama heartbleed.com Sadece yeni anahtar çiftlerinin ötesinde, parola değişiklikleri ve oturum geçersizliğini zorlamak gibi önemli hususların varlığına işaret etmek için büyük çaba sarfeder. - scuzzy-delta
@ scuzzy-delta - iyi nokta. Cevabımı CW'ye şimdi verdim, bu yüzden bu bilgileri düzenlemek / iyileştirmek için çekinmeyin. - EEAA
Ne olduğuyla ilgili en iyi örnek - (şaşırtıcı olmayan şekilde) XKCD: xkcd.com/1354 - Wayne Werner


Cevaplar:


İlkÇıldırmadan önce, bu güvenlik açığının sizin için geçerli olup olmadığını anladığınızdan emin olun. Bir sunucunuz varsa, ancak TLS'yi kullanan herhangi bir uygulama yapmamışsanız, bu sizin düzeltmeniz gereken yüksek öncelikli bir şey değildir. Öte yandan, eğer hiç oldu mu TLS etkin uygulamalar, iyi bir tedavi içindesiniz. Okumaya devam etmek:

Tam olarak ne CVE-2014-0160 aka "Heartbleed"?

Bu büyük bir kederli karışıklık, işte bu. Kısaca, bir saldırganın sistem belleğinin belirli bölümlerini okuyabileceği 1.0.1 - 1.0.1f sürümlerinde OpenSSL sürümlerinde uzaktan kullanılabilecek bir güvenlik açığı keşfedildi. Bu parçalar, özel anahtarlar, önceden paylaşılmış anahtarlar, parolalar ve yüksek değerli kurumsal veriler gibi hassas verileri diğer şeylerin arasında tutuyor.

Hata, Google Güvenlik'ten Neel Mehta (21 Mart 2014) ve Finlandiyalı IT güvenlik test şirketi Codenomicon (2 Nisan 2014) tarafından bağımsız olarak keşfedildi.

Sebebi nedir?

Eh, OpenSSL'de hatalı kod. İşte güvenlik açığını tanıtan İşte güvenlik açığını gideren bir taahhüt. Hata, 2011 yılının Aralık ayında ortaya çıktı ve 7 Nisan 2014 bugün yamalandı.

Böcek, daha büyük bir sorunun belirtisi olarak da görülebilir. İlgili iki problem: (1) hatalı kodun bir kod tabanına sokulmadığından emin olmak için hangi süreçler vardır ve (2) protokoller ve uzantılar neden bu kadar karmaşık ve test edilmesi zor olmaktadır. Öğe (1) OpenSSL ve diğer birçok proje ile bir yönetişim ve süreç meselesidir. Pek çok geliştirici, kod incelemeleri, analiz ve tarama gibi uygulamalara direnir. Öğe (2), IETF'nin TLS WG'sinde tartışılmaktadır. Görmek Heartbleed / protokol karmaşıklığı.

Hatalı kod kötü niyetli bir şekilde eklenmiş mi?

Bunun gerçekten bir hata mı, yoksa muhtemelen kötü bir oyuncu adına kaybolan bir kod olup olmadığı konusunda spekülasyon yapmam. Ancak, OpenSSL için kod geliştiren kişi, bunun yanlışlıkla olduğunu belirtir. Görmek Ciddi 'Heartbleed' güvenlik kusurunu ortaya koyan adam kasten ekledi..

OpenSSL'nin hangi işletim sistemleri ve sürümleri savunmasızdır?

Yukarıda belirtildiği gibi, OpenSSL 1.0.1 ile 1.0.1f arasında bağlantılı olan herhangi bir işletim sistemi veya uygulaması.

Belirtiler nelerdir, başarılı bir istismar tespit etmek için herhangi bir yöntem var mı?

Bu korkutucu kısım. Bildiğimiz kadarıyla, bu güvenlik açığından yararlanılıp yararlanılmadığını tespit etmenin bilinen bir yolu yoktur. Bu istismarı tespit edebilecek IDS imzalarının yakında piyasaya sürülmesi teorik olarak mümkündür, ancak bu yazıdan sonra bunlar mevcut değildir.

Heartbleed'in vahşi ortamda aktif olarak Kasım 2013'te aktif olarak kullanıldığına dair kanıtlar var. Bkz. EFF'ler Kalbinde Vahşi: Kasım 2013'te Heartbleed'i Kullanan İstihbarat Ajansları mıydı? Ve Bloomberg, NSA'nın güvenlik açığı getirildikten kısa bir süre sonra sömürüyü silahlandırdığını bildirdi. Görmek NSA, Yıllardır İstihbarat için Heartbleed Bugünü İstifade Etti. Ancak, ABD İstihbarat Topluluğu Bloomberg'in iddialarını reddediyor. Görmek KAYIT ÜZERİNE IC.

Sistemimin etkilenip etkilenmediğini nasıl kontrol edebilirim?

Eğer Sisteminizde OpenSSL'yi sürdürüyorsanız, basitçe sorunu çözebilirsiniz. openssl version:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

Eğer dağıtım OpenSSL'i koruyorsa, büyük olasılıkla arka yama nedeniyle OpenSSL sürümünü belirleyemezsiniz. openssl komut veya paket bilgisi (örneğin, apt-get, dpkg, yum veya rpm). Çoğu (tüm?) Dağılımlar tarafından kullanılan arka yama işlemi yalnızca temel sürüm numarasını kullanır (örneğin, "1.0.1e"); ve yapar değil bir dahil etkili güvenlik sürümü (örneğin, "1.0.1g").

Paketler geri gönderildiğinde, OpenSSL ve diğer paketler için etkin güvenlik sürümünü belirlemek için Super User'da açık bir soru var. Ne yazık ki, yararlı bir cevap yoktur (distro'nun web sitesini kontrol etmek dışında). Görmek Backpatching ile karşılaşıldığında Etkili Güvenlik Sürümü Belirleme?.

Genel bir kural olarak: Etkilenen sürümlerden birini yüklediyseniz ve TLS desteği için OpenSSL ile bağlantılı programlar veya hizmetler çalıştırdıysanız, savunmasızsınız demektir.

Bu güvenlik açığını test etmek için nerede bir program bulabilirim?

Heartbleed açıklamasının yapıldığı saatler içinde, İnternet'teki birkaç kişi, bu güvenlik açığının varlığı için bir sunucuyu kontrol etmek için kullanılabileceği düşünülen, herkes tarafından erişilebilen web uygulamalarını yayınladı. Bu yazıdan dolayı, herhangi bir inceleme yapmadım, bu yüzden uygulamalarını daha fazla duyurmayacağım. Tercih ettiğiniz arama motorunun yardımı ile nispeten kolay bulunabilirler.

Bu güvenlik açığı nasıl hafifletiliyor?

Güvenlik açığı olmayan bir sürüme geçin ve güvenlik açığından etkilenen verileri sıfırlayın veya yeniden güven altına alın. Üzerinde belirtildiği gibi Heartbleed Site, uygun yanıt adımları geniş:

  1. Düzeltilebilir güvenlik sistemleri.
  2. Yeni özel anahtarları yeniden oluşturun.
  3. CA'nıza yeni CSR'yi gönderin.
  4. İmzalı yeni sertifika edinin ve yükleyin.
  5. Oturum anahtarlarını ve çerezleri geçersiz kıl
  6. Şifreleri ve paylaşılan sırları sıfırla
  7. Eski sertifikaları iptal et.

Daha detaylı bir analiz ve cevap için bkz. Bir web sitesi operatörü Heartbleed OpenSSL istismarından ne yapmalı?Güvenlik Yığını Exchange'de.

Anahtarlarımın veya diğer özel verilerinim kaygılanmalı mıyım?   tehlikeye? Hangi diğer yan etkiler konusunda endişelenmeliyim?

Kesinlikle. Sistem Yöneticileri üstlenmek savunmasız OpenSSL sürümlerini kullanan sunucularının gerçekten tehlikeye düştüğünü ve buna göre yanıt verdiğini.

Güvenlik açığı açığa çıkarıldıktan kısa bir süre sonra, Cloudfare, bir sunucunun özel anahtarının pratikte geri alınabileceğini görmek için bir meydan okuma teklifinde bulundu. Meydan okuma, Fedor Indutny ve Ilkka Mattila tarafından bağımsız olarak kazanıldı. Görmek Heartbleed Mücadelesi.

Daha fazla bilgiyi nerede bulabilirim?

Daha fazla ayrıntı arayanlar için bağlantı dökümü:


Açıklama olaylarının oldukça ayrıntılı bir zaman çizelgesinde bulunabilir. Heartble bildirimi zaman çizelgesi: kim neyi ne zaman biliyordu.


Eğer bir programcı iseniz ve OpenSSL ile bir Heartbleed saldırısı tespit etmek gibi çeşitli programlama püf noktaları ile ilgileniyorsanız msg_cb geri arama, daha sonra OpenSSL'lere bakın Güvenlik Danışmanlığı 2014047.


118
2018-04-08 04:23



İçin +1 KAPAMAK. AŞAĞI. SİZİN. SUNUCULARI. * - SSL'nin gerçekten önemli olduğu HERHANGİ BİR ŞEY yaparsanız, sorunu çözene kadar kapatın. Ayrıca yeni sertifikalar yüklemeyi de unutmayın ( yeni anahtarlar) sunucularınızı bağladıktan sonra - eski anahtarlarınızı yeniden ele geçirmeniz (tehlikeye düşmüş olabilir) bu güvenlik açığının yamalanmasını tamamen ortadan kaldırır ... - voretaq7
AYRICA - OpenSSL kitaplıklarına bağlantı veren tüm hizmetleri yeniden başlatın. OpenSSL’yi yükseltmek, sunucularınızı yeniden başlatmadan yükseltme yapmak hiç de iyi değildir. - EEAA
Gerçekten de - herhangi bir büyük yamadan (OpenSSL gibi) sonra, bir şeyleri kaçırmadığınızdan emin olmak için makineyi yeniden başlatmanın iyi bir kuralı olduğunu düşünüyorum. - voretaq7
Test edenlerden biri açık kaynaklıydı: github.com/FiloSottile/Heartbleed - Riking
@EEAA, "sunucularınızı kapatma", gücü almanız gerektiği anlamına gelmez. Bu, kapatma (veya ssl / tls'yi devre dışı bırakmak için yeniden yapılandırma) ya da hizmetin sunulduğu hizmet ne olursa olsun anlamına gelir. - psusi


XKCD tarafından hatanın basit bir açıklaması:

XKCD 1354


42
2018-04-08 07:28





Ubuntu 12.04, 12.10 ve 13.10

Ubuntu yayınladı USN-2165-1güncellenmiş paketlerin artık arşivlerde mevcut olduğunu belirtiyor. Düzeltmeyi almak için aşağıdaki iki komutu çalıştırın.

sudo apt-get update
sudo apt-get upgrade

Ubuntu 14.04

Bu amaçla kurduğum PPA'ya yeni sürüm (1.0.1g) içeren bir Debian paketi yükledim. Bu üç komut PPA'mı sisteminize ekleyecek, mevcut paketlerin listesini güncelleyecek ve her şeyi yükseltebilecektir:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

Not: PPA da aslında bunun yerine sadece arşivlerde yamalı sürümlerini kullanan yeni sürümünü (1.0.1g) çalıştırmayı tercih sadece durumda, Ubuntu 12.04 ve 13.10 için paket sağlar.

Ubuntu 10.04

Bu bir LTS Sürümü, sunucu sürümü hala destekleniyor ve güvenlik güncelleştirmeleri alıyor. Ancak, heartbleed güvenlik açığı, sürüm 1.0.1'in altında olması nedeniyle, 10.04 standart kurulumunun openssl paketini etkilemedi.

Masaüstü sürümü hayatın sonuna ulaştı ve yükseltilmesi / yeniden yüklenmesi gerekiyor.

Ubuntu 13.04 ve diğer eski sürümler

Ubuntu 13.04, beklemeyeceğiniz çok kısa bir destek döngüsüne sahipti. Hayatın sonuna ulaştı ve artık güvenlik güncellemelerini almıyor. Uzun zamandır yükseltilmiş olmalı. Hala biri kullanıyorsa, lütfen şimdi sıfırdan yükseltin ya da bu kolay yordamı takiben 13.10'a kadar tahribatsız olarak yükseltilebilir: http://www.tecmint.com/upgrade-ubuntu-13-04-raring-ringtail-to-ubuntu-13-10-saucy-salamander/ Yükseltme işleminden sonra sistem, heartbleed yamayı 13.10'dan alır.

Diğer tüm eski ubuntu sürümleri için temelde yeni bir yükleme gerekli demektir.

Düzeltmenin uygulandığını doğrulayın.

Esasen koş openssl version -a ve yapım tarihinin 7 Nisan 2014 veya daha geç olduğundan emin olun, ancak daha fazlasını görün İşte.

Yeniden Başlatma

OpenSSL'ye bağlı tüm hizmetlerin yeniden başlatılmasının en iyi yolu, reboot.


36
2018-04-08 10:37



Diğer versiyonlar için konuşamam ama kesin bir yama var gibi görünüyor (12.04). Bu durumun güvenlik açığını giderdiğinden emin olmamakla birlikte, en azından ilgili taahhütten sonra derlenmiştir.Mon Apr 7 20:31:55 UTC 2014). - Calrion
@Calrion: OpenSSL veya OpenSSL için Debian paketi için bir yama? OpenSSL zaten düzeltildi ve yeni bir sürüm yayınlandı. - Nathan Osman
openssl güncellenirken mevcut bağlantılara ne olacak? bırakılacaklar mı? - pdeva
Bu, kullandığınız web sunucusuna ve nasıl güncellediğinize bağlıdır. Bununla birlikte, savunmasız sürümü kullandıkları için mevcut bağlantıları bırakma konusunda endişelenmeyeceğim. - Nathan Osman
14.04 o zamandan beri bir yama aldı. - Seth


RedHat 6.5 ve CentOS 6.5

Bunlar savunmasız. RedHat'ın erratum RHSA-2014-0376 Yamalı kütüphanelerin mevcut olduğunu ve etkilenen herkesin en erken fırsatta yeni sürüme geçeceğini söylüyor.

Yazım sırasında, CentOS'un henüz sabit bir sürümü yoktu, fakat Karanbir Singh'in CentOS-anons'a gönderilmesi openssl'nin güncel bir sürümünü oluşturduklarını söylüyor (openssl-1.0.1e-16.el6_5.4.0.1, önemli olan son dört hane dikkat edin), sökülebilir TLS komutunun devre dışı bırakılmış olması ve sonunda serbest bırakıldığında sabit bir sürümün üzerine yazılacağından güvenli bir şekilde uygulanabilmesi.

Geçici olarak sabitlenmiş versiyon, henüz tüm aynaların üzerine yapılmış gibi görünmüyor, ancak ana depoda http://mirror.centos.org/centos/6/updates/x86_64/Packages/ (ve benzer şekilde i686 için).

Düzenle: Iain'nin dediği gibi, şimdi C6.5 için tamamen yamalı bir versiyon var gibi görünüyor ve aceleyle aynaların etrafına itilmiş görünüyor. Düz yum update sunucularım için aldım; onun openssl-1.0.1e-16.el6_5.7.

6.5 öncesi RH6 ve C6 sürümleri

Bunlar savunmasız değil. Göre Red Hat'tan gelen bu danışma,

Bu sorun, Red ile birlikte gönderilen openssl sürümlerini etkilemedi   Hat Enterprise Linux 5 ve Red Hat Enterprise Linux 6.4 ve öncesi.

Karanbir Singh'in CentOS-anons'a gönderilmesi sürüm hakkında eşit derecede net:

Günün erken saatlerinde, ciddi bir şekilde farkında olduk.   CentOS-6.5'te olduğu gibi openssl ile ilgili sorun


14
2018-04-08 13:07



değil lists.centos.org/pipermail/centos-announce/2014-April/... düzeltmenin serbest bırakılması? - Iain


Debian Wheezy

Debian issed DSA-2896-1 ve yamalı kütüphaneler burada mevcut. Bir kabuk betiği burada mevcut.

1. Yama

Apt-get deposu güncellendi, şimdi yama kütüphaneleri üzerinden erişilebilir. apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

Alternatif olarak (önerilmez) paketler manuel olarak yükseltilebilir:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

2. Sunucuyu / hizmetlerini yeniden başlat

En iyi koruma için sunucunun tamamını yeniden başlatın veya sunucu çevrimdışı olamıyorsa, gerekli hizmetleri yeniden başlatın.

3. OpenSSL Sürümünü Kontrol Edin

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

13
2018-04-08 11:23



Güncellemelerini alıyorsanız wheezy/security o zaman iyi olacaksın apt-get update && apt-get upgrade. Veya yalnızca paketleri güncellemek için etkileşimli bir paket yöneticisi kullanın openssl, libssl1.0.0, libssl1.0.0-dbg ve libssl-dev (sisteminizde yüklü olarak). - α CVn
apt-get kullanmak benim için sorunu çözmez - hala OpenSSL 1.0.1e 11 Şubat 2013 gösteriliyor - user568829
Teşekkürler @ michael-kjorling, bunu yaptığımda mevcut değildi, ama en güvenli ve doğru bir şekilde yükseltme yoludur. - jacksoncage
@ user568829 yama açtıktan sonra openssl versiyonu göstermeye devam edecek OpenSSL 1.0.1e 11 Feb 2013 yama olarak 1.0.1e-2 denir. İle kontrol edebilirsiniz dpkg -l openssl ve sürümü göstermeli 1.0.1e-2+deb7u6 - jacksoncage
OpenSSL'yi güncelledikten sonra sunucuyu yeniden başlatmayı öneririm, kesinlikle gerekli olduğu için değil, OpenSSL kitaplıklarını dinamik olarak yükleyen en az her şeyin yeni sürümü kullanması huzur için. (Statik olarak bağlantılı başka bir konudur.) Bununla birlikte, servis yeniden başlatmanın kabul edilebilir olduğu her durumda bazı sunucuların kolayca yeniden başlatılamayacağını biliyorum. - α CVn


Özel anahtarların, ele geçirilmesi gereken tek varlık olmadığını belirtmek isterim. Böcek sızıntı potansiyeline sahip herhangi Aynı adres alanında (yani, aynı işlem) OpenSSL olarak çalışan bellek. Bu nedenle, OpenSSL'nin güvenlik açığı olan bir sürümünün statik veya dinamik olarak bağlantılı olduğu bir sunucu işlemi çalıştırıyorsanız, Bu işlemin gerçekleştirdiği herhangi bir bilgi parçasıParolalar, kredi kartı numaraları ve diğer kişisel veriler de dahil olmak üzere, potansiyel olarak tehlikeye atılmış olarak değerlendirilmelidir.


9
2018-04-08 20:23





FreeBSD 10.0 veya openssl bağlantı noktalarından

FreeBSD güvenlik ekibi CVE-2014-0160 (aka "Heartbleed") ile ilgili bir danışmanlık yayınladı ve: FreeBSD-SA-14: 06.openssl

  1. FreeBSD güncelleniyor

    • FreeBSD'yi ikili yama üzerinden güncelleme

      Çalışan sistemler RELEASE sürümü FreeBSD'nin i386 veya amd64 platformlar freebsd-update (8) yardımcı programı aracılığıyla güncellenebilir:

      # freebsd-update fetch
      # freebsd-update install
      
    • FreeBSD'nin kaynaklardan güncellenmesi

      1. İlgili yamayu aşağıdaki konumdan indirin ve doğrulayın. PGP programınızı kullanarak müstakil PGP imzası.

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        
      2. Aşağıdaki komutları root olarak çalıştırın:

        # cd /usr/src
        # patch < /path/to/patch
        
      3. İşletim sistemini yeniden derleyin

        kullanma buildworld ve installworld açıklandığı gibi FreeBSD el kitabı.

  2. Güncelleme openssl Minimum versiyonlu port 1.0.1_10

  3. Tüm kütüphaneleri kütüphaneyi kullanarak yeniden başlatın veya sistemi yeniden başlatın.

  4. Sisteminizin güvenliği ihlal edilmiş gibi davranın, tüm ssl anahtarlarınızı ve / veya sertifikalarınızı ve olası sızdırılmış bilgileri yeniden verin (bkz. EEAA daha genel cevap).

FreeBSD 9.x ve FreeBSD 8.x

Bu sistem savunmasız değil göre Heartbleed varsayılan olarak, eski 0.9.x sürümüne dayanarak openssl kütüphane, olmadıkça yükledin openssl  limanlardan (yukarı bakın).

Eğer bu sistemler savunmasız değildir Heartbleed Sorun, daha sonra başka bir nedenle nedeniyle sisteminizi yükseltmek akıllıca olabilir yerel güvenlik açığı (bkz. FreeBSD-SA-14: 06.openssl ve üst kattaki "FreeBSD 10.0" bölümü):

Yerel bir saldırgan bir imzalama sürecini snoop edebilir ve iyileşebilir   ondan imzalama anahtarı. [CVE-2014-0076]

Not:

Orijinal Heartbleed Danışmanlık, FreeBSD 8.4 ve 9.1'i potansiyel olarak savunmasız olarak listelemektedir. Bu eksikliği nedeniyle doğru değil Kalp atışı uzantısı (varsayılan FreeBSD openssl kütüphanesi sürüm 0.9.x'dir).


9
2018-04-11 08:03





Çalıştığım bazı aygıtlarda kullanılan SSL sürümlerini belirlemek imkansızdı. Teknik olarak hafifletici olmamakla birlikte, şu an savunmasız ana bilgisayarlar kimliğimin listenin en üstündedir.

Kullanarak rasgele ana bilgisayarlara ve bağlantı noktalarına karşı denetimler gerçekleştirecek küçük bir sanal makine oluşturdum. FiloSottile'nin test modülü. Ön bakışta kod ses görünüyor.

Tamamlanan sanal makinenin serbest bırakılması İşte. VMX formatında.

Uyarı Sözleri

Bu komut dosyası ve sanal makine sadece Sisteminizin güncel durumunu gösterir. Geçmişte bir noktada sistemlerinizin savunmasız bir durumda olduğu ve istismara uğramış olabileceği tamamen olasıdır.

Burada gösterilen bir şey, düzeltmek için kesinlikle yüksek bir önceliktir. değil güncellemeleri uygulamak ve tüm anahtarlarınızı değiştirmek için sizi kancadan çıkarın.


3



Sadece Snapt'tan bir e-posta aldım, onlarınki. BOLO (Gözünü aç) ! - Jacob