OpenSSL Project kom i forrige uke med en sikkerhetsoppdatering til det mye brukte kryptobibliotektet OpenSSL. Oppdateringen fjerner i alt åtte ulike sårbarheter.
Ingen av sårbarhetene som nå har blitt fjernet, er like alvorlige som Heartbleed-sårbarheten som ble oppdaget og fjernet i april i fjor. Det vil si, ingen av de åtte sårbarhetene ser ut til å innebære noen umiddelbar fare for lekkasje av data.
De to mest alvorlige sårbarhetene kan dog utnyttes i tjenestenektangrep (DoS), og det kan være alvorlig nok mange. De øvrige sårbarhetene som nå fjernes, har bare lav alvorlighetsgrad. De fleste av dem skal ha vært kjent for OpenSSL Project siden oktober. Siden Heartbleed ble oppdaget, har OpenSSL-prosjektet fått mer hjelp fra eksterne parter til å finne sårbarheter.
Oppdater snarest
Sikkerhetsspesialister anbefaler likevel at systemadministratorer oppdaterer OpenSSL-installasjonen i systemene sine i alle fall innen noen dager.
– For å opprettholde en pålitelig tjeneste, bør OpenSLL oppgraderes eller erstattes med SSL-biblioteker som ikke er berørt av disse problemene, slik som LibreSSL, sier Tod Beardsley, en teknologileder i sikkerhetsselskapet Rapid7, til amerikanske ITworld.
Han forteller at selskapet vil studere sårbarhetene videre og varsle OpenSSL-teamet dersom man finner nye, uventede angrepsvektorer som for eksempel åpner for kjøring av vilkårlig kode eller lekkasje av informasjon.
I utgangspunktet er det versjonene 1.0.1k, 1.0.0p og 0.9.8zd som nå inkluderer sikkerhetsfiksene. Men i flere Linux-distribusjoner kan også OpenSSL-installasjoner med lavere versjonsnummer også være oppdatert med de nye sikkerhetsfiksene.
Les også:
- [30.10.2014] Slapp med skrekken etter Heartbleed
- [12.05.2014] Forvirring rundt OpenSSL-versjoner
- [08.04.2014] Ekstremt alvorlig sårbarhet i OpenSSL
