OpenSSL-prosjektet kom i går med en svært viktig sikkerhetsoppdatering til kryptobiblioteket OpenSSL. Bibliotektet implementerer de utbredte SSL- og TLS-protokollene og benyttes i svært mye programvare.
Sikkerhetsoppdateringen fjerner en sårbarhet (CVE-2014-0160) som har fått navnet «Heartbleed». Den gjør det mulig for alle på internett å lese minnet til systemer som er beskyttet av OpenSSL. Angripere kan på denne måten få tilgang til de hemmelige nøklene som brukes til både å identifisere tjenesteleverandører og til å kryptere trafikken. Dette gjør angripere kan avlytte alle data som sendes mellom tjenester og brukere.
Sårbarheten finnes i heartbeat-utvidelsen av OpenSSL. Den ble innført i versjon 1.0.1 som ble utgitt i mars 2012, men også betautgaven av 1.0.2 skal være sårbar. Sårbarheten skal altså ha eksistert i mer enn to år. I tillegg til at den skal være relativt enkel å utnytte, skal det ikke være mulig å oppdage om noen har utnyttet den. Man må dog gå ut fra at dette har skjedd.
OpenSSL-prosjektet har kommet med sikkerhetsoppdateringer til begge versjoner. Denne må nå gjøres tilgjengelig av programvareleverandørene som benytter OpenSSL. Blant de som har kommet med oppdateringer er Red Hat og Ubuntu.
Fordi sikkerhetsnøklene kan ha blitt kompromittert, er det ikke tilstrekkelig å installere oppdateringen. Samtlige nøkler må kalles tilbake og erstattes med nye nøkler. Dette må gjøres av leverandørene av tjenestene.
OpenSSL følger med mange Linux- og BSD-distribusjoner. Biblioteket benyttes av utbredte webservere som nginx og Apache HTTP Server, men også av en rekke e-postservere, lynmeldingstjenester, VPS-nettverk, rutere og annet nettverksutstyr, samt mye klientprogramvare.
Det er Neel Metha i Google Security som krediteres for å ha oppdaget sårbarheten.
Les også:
- [22.01.2015] Mange dropper sikkerhetfiksene
- [12.01.2015] På tide å oppdatere OpenSSL
- [21.11.2014] NSM vil stanse hackerangrep med DNS
- [30.10.2014] Slapp med skrekken etter Heartbleed
- [30.07.2014] «Heartbleed»: - Feilfiks holder ikke
- [25.07.2014] Dropper OpenSSL i Chrome
- [23.06.2014] 300.000 har fått varig heartbleed
- [06.06.2014] «Ny», alvorlig sårbarhet rammer OpenSSL
- [09.05.2014] Mange oppdaterer til Heartbleed
- [23.04.2014] – OpenSSL kan ikke reddes
- [11.04.2014] – Heartbleed var et hendelig uhell
- [10.04.2014] – Vent på sikkerhetsoppdateringen