Bugg i OpenSSL är det största säkerhetshålet i webbens historia

Det nyligen upptäckta säkerhetshålet i OpenSSL anses vara en av det största säkerhetshålet i webbens historia

Heartbleed buggen är en allvarlig sårbarhet i den populära OpenSSL som används till att skydda system och hemsidor med SSL / TLS-kryptering . SSL/TLS ger en säkerhet i kommunikationen mellan dator och server eller server till server för applikationer såsom webb, e-post, snabbmeddelanden (IM) och virtuella privata nätverk (VPN).

Buggen innebär att vem som helst på Internet kan läsa minnet av de system som skyddas av de sårbara versionerna av OpenSSL programvaran . Detta äventyrar så klart de hemliga nycklar som används för att identifiera tjänsteleverantörerna och för att kryptera trafiken, namn och lösenord för användarna och det faktiska innehållet. Detta gör det möjligt för angripare att avlyssna kommunikation, stjäla data direkt från de tjänster och användarna samt att imitera tjänster och användare.

Testade angripa sina egna tjänster

De som upptäckte sårbarheten i OpenSSL gjorde själva ett antal tester från angriparens perspektiv mot sina egna tjänster. De kunde attackera sig själva från utsidan, utan att lämna några spår. Utan att använda någon konfidentiell information eller referenser kunde de alltså stjäla hemliga nycklar från sig själva, som används för X.509-certifikaten, användarnamn och lösenord, snabbmeddelanden, e-post och affärskritiska dokument och kommunikation.

Vad gör man för att skydda sig mot sårbarheten?

Hur gör man för att skydda sig mot sårbarheten? Så länge som den sårbara versionen av OpenSSL är i bruk kan den missbrukas. Det har nu släppts en uppdatering till OpenSSL och den måste omgående installeras på alla sårbara system och servrar samt certifikaten som är i bruk på dessa servrar måste förnyas/bytas ut.

Leverantörer av operativsystem och distribution, datorleverantörer, oberoende programvaruleverantörer måste installera denna fix och meddela alla sina användare om problemet. Tjänsteleverantörer och användare måste installera en fix när den blir tillgänglig för operativsystemet, nätverksutrustningen och mjukvaran de använder.

Det är ändå viktigt att påpeka att det är ett misstag i programmeringen av OpenSSL biblioteket som orsakat detta säkerhetshål och inte tekniken bakom SSL/TLS eller certifikaten.

Status för olika versioner av OpenSSL:

• OpenSSL 1.0.1 genom 1.0.1f (inklusive) är sårbara
• OpenSSL 1.0.1g är inte sårbar
• OpenSSL 1.0.0 gren är inte sårbar
• OpenSSL 0.9.8 gren är inte sårbar

Buggen introducerades till OpenSSL i december 2011 och har varit ute sedan OpenSSL släpptes i version 1.0.1 den 14 mars 2012. OpenSSL 1.0.1g släpptes den 7 april 2014 och där buggen är åtgärdad. De sårbara versionerna av OpenSSL har funnits ute i över två år nu och de har snabbt antagits av moderna operativsystem. En viktig bidragande faktor har varit att TLS versionerna 1.1 och 1.2 kom tillgängliga med den första sårbara OpenSSL versionen (1.0.1) och TLS 1.2 har drivits på på grund av tidigare attacker mot TLS (t.ex. BEAST) .

Vissa distributioner av operativsystem som levererades med potentiellt sårbar OpenSSL version :

• Debian Wheezy (stabil) OpenSSL 1.0.1e – 2 + deb7u4
• Ubuntu 12.04.4 LTS OpenSSL 1.0.1 – 4ubuntu5.11
• CentOS 6,5 , OpenSSL 1.0.1e – 15
• Fedora 18 , OpenSSL 1.0.1e – 4
• OpenBSD 5.3 ( OpenSSL 1.0.1c 10 maj 2012 ) och 5,4 ( OpenSSL 1.0.1c 10 maj 2012 )
• FreeBSD 10,0 – OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 ( OpenSSL 1.0.1e )
• OpenSUSE 12.2 ( OpenSSL 1.0.1c )

Operativsystem distributionssystem med versioner som inte är sårbara :

• Debian Squeeze ( gammal stabil) , OpenSSL 0.9.8o – 4squeeze14
• SUSE Linux Enterprise Server
• FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
• FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
• FreeBSD Ports – OpenSSL 1.0.1g ( Vid 7 Apr 21:46:40 2014 UTC )
• Windows Server 2003 till 2012 som inte använder OpenSSL utan sitt egna Schannel. Dock om du använder Apache eller annan webbserver kan OpenSSL vara installerat och därmed göra servern sårbar.

Referenser till sajter som beskriver detta säkerhetshål i OpenSSL programbiblioteket.

• CVE – 2014-0160
  NCSC – FI fall # 788.210
  http://www.openssl.org/news/secadv_20140407.txt (publicerad 7 apr 2014 , ~ 17:30 UTC )
  http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities (publicerad 7 apr 2014 , ~ 18:00 UTC )
  http://heartbleed.com (publicerad 7 april 2014 , ~ 19:00 UTC )
  http://www.ubuntu.com/usn/usn-2165-1/
  http://www.freshports.org/security/openssl/
  https://blog.torproject.org/blog/openssl-bug-cve-2014-0160
  https://rhn.redhat.com/errata/RHSA-2014-0376.html
  http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
  https://lists.fedoraproject.org/pipermail/announce/2014-April/003205.html
  http://www.kb.cert.org/vuls/id/720951
  https://www.cert.fi/en/reports/2014/vulnerability788210.html
  https://www.cert.at/warnings/all/20140408.html
  http://www.circl.lu/pub/tr-21/