Sårbarheter i biblioteker rammer gjerne bredt, og Heartbleed-sårbarheten i OpenSSL er intet unntak. (Bilde: digi.no)

Ekstremt alvorlig sårbarhet i OpenSSL

Samtlige sikkerhetsnøkler må byttes ut.

OpenSSL-prosjektet kom i går med en svært viktig sikkerhetsoppdatering til kryptobiblioteket OpenSSL. Bibliotektet implementerer de utbredte SSL- og TLS-protokollene og benyttes i svært mye programvare.

Sikkerhetsoppdateringen fjerner en sårbarhet (CVE-2014-0160) som har fått navnet «Heartbleed». Den gjør det mulig for alle på internett å lese minnet til systemer som er beskyttet av OpenSSL. Angripere kan på denne måten få tilgang til de hemmelige nøklene som brukes til både å identifisere tjenesteleverandører og til å kryptere trafikken. Dette gjør angripere kan avlytte alle data som sendes mellom tjenester og brukere.

Sårbarheten finnes i heartbeat-utvidelsen av OpenSSL. Den ble innført i versjon 1.0.1 som ble utgitt i mars 2012, men også betautgaven av 1.0.2 skal være sårbar. Sårbarheten skal altså ha eksistert i mer enn to år. I tillegg til at den skal være relativt enkel å utnytte, skal det ikke være mulig å oppdage om noen har utnyttet den. Man må dog gå ut fra at dette har skjedd.

OpenSSL-prosjektet har kommet med sikkerhetsoppdateringer til begge versjoner. Denne må nå gjøres tilgjengelig av programvareleverandørene som benytter OpenSSL. Blant de som har kommet med oppdateringer er Red Hat og Ubuntu.

Fordi sikkerhetsnøklene kan ha blitt kompromittert, er det ikke tilstrekkelig å installere oppdateringen. Samtlige nøkler må kalles tilbake og erstattes med nye nøkler. Dette må gjøres av leverandørene av tjenestene.

OpenSSL følger med mange Linux- og BSD-distribusjoner. Biblioteket benyttes av utbredte webservere som nginx og Apache HTTP Server, men også av en rekke e-postservere, lynmeldingstjenester, VPS-nettverk, rutere og annet nettverksutstyr, samt mye klientprogramvare.

Det er Neel Metha i Google Security som krediteres for å ha oppdaget sårbarheten.

    Les også:

Til toppen