OpenSSL er ramt af et nyt kritisk sikkerhedshul

Illustration: leowolfert/Bigstock
Open source-softwaren til internetkryptering OpenSSL er ramt af et nyt kritisk sikkerhedshul i webkryptering, der åbner for wifi-phishing.

Open source-softwaren til kryptering af forbindelser over internettet, OpenSSL, fik en uønsket plads i rampelyset, da det for nylig blev afsløret, at det indeholdt et sikkerhedshul, som potentielt kunne udnyttes til at afsløre kodeord, kreditkortnumre og andre fortrolige oplysninger fra webservere.

Den såkaldte Heartbleed-sårbarhed i OpenSSL satte fokus på en komponent, som ellers blot har arbejdet for store websteder i årevis. Nu er yderligere en række sikkerhedshuller i OpenSSL fundet og lukket.

Læs også: Alvorligt sikkerhedshul i openSSL opdaget efter to år

En af dem er særlig kritisk, fordi den har eksisteret i OpenSSL siden 1998 og dermed findes i alle versioner, bortset fra den nyeste 1.01 og de patchede versioner.

Ifølge sikkerhedsfirmaet Sophos er den dog ikke helt så kritisk som Heartbleed. Heartbleed-sårbarheden kunne udnyttes, hvis blot serveren havde en sårbar version af OpenSSL. Den nye, kritiske sårbarhed kan kun udnyttes, hvis både server og klient er sårbare.

Det vil dog kunne udnyttes ved eksempelvis at opsætte et falsk wifi-opkoblingspunkt, som brugerne lokkes til at forbinde til. Det giver mulighed for at lave et man-in-the-middle-angreb, selvom brugeren tror, han benytter en sikker forbindelse, skriver blandt andet sikkerhedsfirmaet CSIS.

OpenSSL er i øvrigt ikke den eneste krypteringssoftware, som har måttet lukke kritiske sårbarheder. Også GnuTLS har ifølge Sophos været ramt af et kritisk sikkerhedshul.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

Når man absolut intet ansvar har for om ting breaker i drifts systemer...

Så en oversigt over programmer der benyttede GnuTLS og det inkluderede chrome,
er det noget der påvirker chrome på windows ? eller har google fikset det ?

  • 2
  • 4
Carsten Olsen

Du har en nul konfigureret computer det virker fint (og sikkert) i dit eget miljø (firma). Nu tager du computeren ud i en anden sammenhæng og pludeseligt bliver data sendt ad andre veje og kan aflyttes, eller ledes til en anden destination. Dette kan med DHCP laves på to måder: Den simple er falsk DNS server, eller næsten lige så simpelt IP-afsporing.

Dette er noget hvor Linux er lige så nem at ramme som Windows. Der bør laves et mere sikkert alternativ til DHCP. Routere kører normalt Linux men der er ingen der ser koden igennem og selv builder den og installere den selv. Hvorfor er det mon sådan ?

  • 0
  • 0
Carsten Olsen

bruger man typisk VPN


Og der er ingen fra firmaet, der tager en "firma laptop" med ud i byen ?
Og der ikke nogen i fimaet der kommunikere med web serverer over andet end VPN ? Hvis nu en tekniker henter et datablad (u-krypteret) på en "IC XYZ-dobbelt-turbo" så lytter konkurrenten der producere "IC XYZ" til 20% højere pris ikke med?. Selvom han kan tjene 1million kr mere årligt på at fastholde kunden på "IC XYZ"? (Jeg har selv prøvet at få en opringning fra producenten af "IC XYZ" efter at en indkøber bad mig om at undersøge om "IC XYZ-dobbelt-turbo" ikke kunne bruges? Den var jo billigere ?)

  • 0
  • 4
Jacob Nordfalk

sudo apt-get update; sudo apt-get upgrade

Jeg må se at få fundet ud af hvordan man automatisk og omgående får installeret sikkerhedsopdateringer på en Ubuntu-server

Lad mit tilføje at jeg er ansvarlig for at drifte en række systemer der skal være oppe 24-7 og at jeg derfor gennem de sidste 5 år har udført de magiske 'sudo apt-get update; sudo apt-get upgrade' manuelt og tjekket det hele i hoved og r... bagefter, men at der ikke en eneste gang har været problemer på grund af sikkerhedsopdateringer.

Mine serversystemer er primært afhængig af Java, ImageMagick, OpenSSL, Apache, Tomcat, ProFTPd og en række støttebiblioteker.

  • 5
  • 0
Jacob Christian Munch-Andersen

Det gælder også proprietær systemer - ikke kun på grund af brug af open source. Det er bare lidt mere skjult, hvad der er på færde.. Derfor har alle producenter en tendens til at udsende sikkerhedsopdateringer.
Jeg tror at vi skal være glade for det.


Men der er ret stor forskel på hvor graverende og hvor mange fejl de enkelte stykker software bliver ramt af, OpenSSL er en alt for stor bunke alt for rodet kodet, med alt for mange underlige hacks. Det er der mange årsager til, men det er meget sikkert at mange fejl kunne være undgået hvis der var blevet ryddet ordentligt op i kodebasen under vejs, det er ikke en tilstand vi bør acceptere.

  • 6
  • 0
Jakob Damkjær

"
Det er der vist ingen der har påstået.
Fordelen ved Open Source er at alle har lige adgang til kildekoden. At det så ikke er alle der kigger koden igennem er ikke udviklernes skyld."

Måske ikke direkte med der er derimod mange der har argumenteret at closed Source var usikker med modsat argumentation... Således er det ret meget mere end antydet at open Source er mere sikkert...

Om det er tilfældet er meget svært at afgøre kvantitativt men der har på det seneste været grelle eksempler på at selv om der er mulighed for at se koden er der ingen der gør det og derfor er der et akut behov for sec reviews af koden...

  • 1
  • 3
Log ind eller Opret konto for at kommentere