Alvorligt sikkerhedshul i openSSL opdaget efter to år

8. april 2014 kl. 13:429
Et nyopdaget sikkerhedshul i krypteringsprotokollen openSSL har eksisteret i to år. Det kan blandt andet udnyttes til at opfange krypteret kommunikation mellem brugere og hjemmesider.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Eksperter har opdaget et alvorligt sikkerhedshul i krypteringsprotokollen OpenSSL, der har eksisteret siden 2012. OpenSSL er en open source-implementering af SSL- og TLS-protokollen, og det nyopdagede hul går under navnet Heartbleed og påvirker versionerne fra 1.0.1 til 1.0.1f. Den nyopdagede sårbarhed har karakter af et manglende sikkerhedscheck i forbindelse med udvidelsen Heartbeat (deraf navnet Heartbleed).

Sårbarheden giver mulighed for at overvåge krypteret kommunikation mellem en bruger og en web-tjeneste, og ifølge sikkerhedseksperter fra Codenomicon, der opdagede Heartbleed-hullet, kan det skabe seriøs ravage på internettet.

OpenSSL bruges nemlig ifølge PCWorld til at beskytte mange mailservere, ligesom den også understøtter webserverne Apache og Nginx.

»Heartbleed giver hackere mulighed for at lytte med på krypteret kommunikation, stjæle data direkte fra både web-tjenester og brugere og imitere både tjenester og brugere,« skriver sikkerhedsfolkene. Et eksempel kan være, at man kan opsnappe kreditkortinformationer, der bliver transmitteret fra bruger til web-butik via HTTPS

Artiklen fortsætter efter annoncen

Version2-bloggeren Henrik Kramshøj har skrevet et indlæg om Heartbleed, og han råder i første omgang til, at man får opdateret til seneste version af openSSL med det samme! Når du har gjort det, kan du læse hans indlæg. Det kan blive en større omgang, hvor alle nøgler også skal skiftes, advarer han.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
8. april 2014 kl. 20:08

Ud over at opgradere sin egen serveren skal man vel også give det råd at man ikke skal benytte andres websites i øjeblikket indtil man har testet med et program f.eks. Jared Stafford's ssltest Python program (forket her https://gist.github.com/takeshixx/10107280) og sikret sig at deres https ikke er sårbar. For hvis man benytter dem er det større sandsynlighed for at session-cookies og andet opsnappes, og hvis man logger ind, password og brugernavn, AFAIK. Man bør måske ligefrem disable HTTPS-Everywhere i sin browser, - hvis man har den som add-on.

Denne oversigt over problematisk websites er vist rimeligt opdateret: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt Stackoverflow.com er dog vist lukket nu.

8
8. april 2014 kl. 17:36

Skal sikkerheds reviews af opensource kode financierens da opensource ikke er i stand til det under egen drift.

Hvad skulle det fx. koste at få FreeBSD folket til at holde OpenSSL, webkit og andre bredt under review ? (Eller nogen andre hvis de har for travlt).

4
8. april 2014 kl. 15:49

Lidt trist at noget der er open source og noget der stoles på kan have så graverende fejl i to år. Troede open source netop skulle medvirke til at undgå disse ting??

6
8. april 2014 kl. 16:10

Lidt trist at noget der er open source og noget der stoles på kan have så graverende fejl i to år. Troede open source netop skulle medvirke til at undgå disse ting??

Nu da OpenSSL tilfældigvis er open source, så har du lettere ved at se hvilke projekter der vælger at opdatere og hvilke der ikke gør.

Hvis du samtidig har fx Linux, så bliver OpenSSL typisk kun installeret en gang på denne, så alle programmer linker mod denne ved opstart. Derfor er det kun en pakke der skal opdateres. Du skal derfor ikke gå alle dine programmer igennem for at se om de inkluderer en ny eller gammel version.

3
8. april 2014 kl. 14:41

Ikke-eksisterende bounds checking giver bare så mange fine fejlscenarier. Det her er nok det hidtil værste eksempel. Vi betror alle vores mest følsomme oplysninger til verdens dygtigste programmører, der ikke må fejle. Problemet er, at selv verdens dygtigste programmører fejler.

Men hey, C er da hurtigt ...

2
8. april 2014 kl. 14:36

Fx Yahoo er lige nu sårbar: http://filippo.io/Heartbleed/#yahoo.com:443

På min Ubuntu-server kørte jeg "apt-get upgrade", men den genstartede ikke automatisk apache. Værktøjet sagde at jeg var sårbar, indtil jeg manuelt genstartede apache.