OpenSSL lukker i dag alvorligt sikkerhedshul med ny patch

Systemadministratorer og andre, der afhænger af OpenSSL, bør i dag være klar til at skifte til en ny version af open-source krypteringsbiblioteket. Patchen lukker nemlig et alvorligt sikkerhedshul.

OpensSSL er et meget udbredt open-source software bibliotek, som tilbyder krypterede internetforbindelser gennem SSL/TLS forbindelser til rigtig mange hjemmesider.

Det skriver The Hacker News.

De nye versioner af OpenSSL biblioteket hedder version 1.0.2d og 1.0.1p og er blevet udfærdiget for at lukke et sikkerhedshuller, som OpenSSL-holdet kaldet for ’meget alvorlig’. Fejlen har ikke været afsløret af andre kilder. Der er ikke flere detaljer om den mystiske sikkerhedsbrist endnu, bortset fra at den ikke er aktuel for 1.0.0 eller 0.9.8 serierne.

Patchen blev annonceret af OpenSSL-udvikler Mark J Cox i søndags på en mailingliste - dog uden at afsløre informationer, som kan bruges af hackere til at udnytte svagheden, før patchen er blevet udgivet.

Nogle sikkerhedseksperter har spekuleret i, om den nye og alvorlige bug kunne være endnu en ’Hearbleed’ eller ’POODLE’ fejl, som var to meget alvorlige softwarefejl, der stadig påvirker nogle dele af internettet i dag. OpenSLL-patchen vil blive offentliggjort i løbet af i dag.

Læs også: 300.000 servere er stadig sårbare over for Heartbleed-sårbarhed

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm Blogger

Nu er der kommet en konkret beskrivelse af fejlen:

During certificate verification, OpenSSL (starting from version 1.0.1n and 1.0.2b) will attempt to find an alternative certificate chain if the first attempt to build such a chain fails...

(Læs linket for hele beskrivelsen)

Det lyder til kun at være kritisk for klienter og servere der anvender client side certifikater til authentifikation. Detmed lyder det til at en lang række server-ejere kan ånde lettet op – men client-side er fucked hvis man bruger OpenSSL. Heldigvis er der dog vist ikke nogle af de store browsere der bruger OpenSSL client-side, så den brede masse går nok også fri i denne gang?

Mikkel Kirkgaard Nielsen

Måske en uge vil være fint. Inden de fortæller i detaljer hvad fejlen er

Bent, hvordan skulle et kildekodebaseret projekt (open source, du ved) holde detaljerne skjult når det laver et nyt release? Med det samme releaset er offentliggjort, vil forskellen mellem den gamle og den nye kode afsløre præcist hvad det uhensigtsmæssige består i.

For denne fejl, som nu også er kendt som CVE-2015-1793: (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793) er forskellen i koden her: https://github.com/openssl/openssl/commit/2aacec8f4a5ba1b365620a7b17fcce...

OpenSSL har arbejdet på løsningen i stilhed siden 24/6-2015, for at kunne have et release klar til offentligørelsen af problemet.

Det du foreslår, vil kræve at OpenSSL skulle levere binære opdateringer til alskens mærkværdige arkitekturer og systembibliotekskombinationer, samt stå inde for validiteten og funktionaliteten af disse i en karensperiode, indtil man dømmer det "forsvarligt" at offentliggøre kildekoden. Det tror jeg næppe du får nogle fri software/open source source-projekter til.

Uanset, hvis dine maskiner er slukkede/offline er du da helt sikker på at sandsynligheden for uønsket udnyttelse af dem er nul. Bedre sikkerhed får du ikke andre steder :).

Mikkel

Troels Arvin

Jeg savner, at artiklen sætter tingene lidt i perspektiv i stedet for at gå efter sensationen.

Fejlen er introduceret så sent, at man skal være yderst bleeding edge agtig for at være omfattet af fejlen. Således er alm. udgivelser af RHEL, CentOS, Ubuntu og Debian ikke omfattet.

(Det er muligt, at forskellige development-udgaver af ovennævnte er ramt. De nyeste Fedora Linux'er er ramt, fordi Fedora netop er en bleeding edge distribution; i det store billede retfærdiggør dette dog ikke, at man går i panik.)

Bent Jensen

Bent, hvordan skulle et kildekodebaseret projekt (open source, du ved) holde detaljerne skjult når det laver et nyt release? Med det samme releaset er offentliggjort, vil forskellen mellem den gamle og den nye kode afsløre præcist hvad det uhensigtsmæssige består i.


Ja, og den som kan forstå det og finde det, er også dygtigt nok til at misbruge dette.
Mener heller ikke at fejl, og sikkerheds brist, skal forsøges skjult.

Men kom til at tænke på den første rigtige orm til windows.
Kan i huske den, der hvor man fik virus på 10-15 sec, og slet ikke kunne nå at patche inden man var indfikseret.

Har 3-4 PC som meget sjælden er tændt, og de kommer jo på Internet, inden der findes en ny opdatering på sammen. Så hvis fejlen var meget udbredt, og rigtigt farlig for slutbruger, så ville jeg være lidt betænkeligt, ved bare at starte op.
Men det var ikke tilfældet denne gang.

Når vi næste gang ser sådan en orm, så tror jeg ikke vi skal regne med at payload er så pænt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder