Alvorligt sikkerhedshul i openSSL opdaget efter to år

Et nyopdaget sikkerhedshul i krypteringsprotokollen openSSL har eksisteret i to år. Det kan blandt andet udnyttes til at opfange krypteret kommunikation mellem brugere og hjemmesider.

Eksperter har opdaget et alvorligt sikkerhedshul i krypteringsprotokollen OpenSSL, der har eksisteret siden 2012. OpenSSL er en open source-implementering af SSL- og TLS-protokollen, og det nyopdagede hul går under navnet Heartbleed og påvirker versionerne fra 1.0.1 til 1.0.1f. Den nyopdagede sårbarhed har karakter af et manglende sikkerhedscheck i forbindelse med udvidelsen Heartbeat (deraf navnet Heartbleed).

Sårbarheden giver mulighed for at overvåge krypteret kommunikation mellem en bruger og en web-tjeneste, og ifølge sikkerhedseksperter fra Codenomicon, der opdagede Heartbleed-hullet, kan det skabe seriøs ravage på internettet.

OpenSSL bruges nemlig ifølge PCWorld til at beskytte mange mailservere, ligesom den også understøtter webserverne Apache og Nginx.

»Heartbleed giver hackere mulighed for at lytte med på krypteret kommunikation, stjæle data direkte fra både web-tjenester og brugere og imitere både tjenester og brugere,« skriver sikkerhedsfolkene. Et eksempel kan være, at man kan opsnappe kreditkortinformationer, der bliver transmitteret fra bruger til web-butik via HTTPS

Version2-bloggeren Henrik Kramshøj har skrevet et indlæg om Heartbleed, og han råder i første omgang til, at man får opdateret til seneste version af openSSL med det samme! Når du har gjort det, kan du læse hans indlæg. Det kan blive en større omgang, hvor alle nøgler også skal skiftes, advarer han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

Ikke-eksisterende bounds checking giver bare så mange fine fejlscenarier. Det her er nok det hidtil værste eksempel. Vi betror alle vores mest følsomme oplysninger til verdens dygtigste programmører, der ikke må fejle. Problemet er, at selv verdens dygtigste programmører fejler.

Men hey, C er da hurtigt ...

  • 6
  • 0
Joe Sørensen

Lidt trist at noget der er open source og noget der stoles på kan have så graverende fejl i to år. Troede open source netop skulle medvirke til at undgå disse ting??


Nu da OpenSSL tilfældigvis er open source, så har du lettere ved at se hvilke projekter der vælger at opdatere og hvilke der ikke gør.

Hvis du samtidig har fx Linux, så bliver OpenSSL typisk kun installeret en gang på denne, så alle programmer linker mod denne ved opstart. Derfor er det kun en pakke der skal opdateres. Du skal derfor ikke gå alle dine programmer igennem for at se om de inkluderer en ny eller gammel version.

  • 1
  • 0
Finn Aarup Nielsen

Ud over at opgradere sin egen serveren skal man vel også give det råd at man ikke skal benytte andres websites i øjeblikket indtil man har testet med et program f.eks. Jared Stafford's ssltest Python program (forket her https://gist.github.com/takeshixx/10107280) og sikret sig at deres https ikke er sårbar. For hvis man benytter dem er det større sandsynlighed for at session-cookies og andet opsnappes, og hvis man logger ind, password og brugernavn, AFAIK. Man bør måske ligefrem disable HTTPS-Everywhere i sin browser, - hvis man har den som add-on.

Denne oversigt over problematisk websites er vist rimeligt opdateret: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt Stackoverflow.com er dog vist lukket nu.

  • 0
  • 0
Log ind eller Opret konto for at kommentere