OpenSSL lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 8/4/2014

Et alvorligt sikkerhedshul i OpenSSL giver uvedkommende adgang til data fra en server eller klient, der anvender TLS-krypteret kommunikation. Hullet er lukket med en opdatering.

Sårbarheden går under navnet Heartbleed, fordi den ligger i en funktion ved navn Heartbeat. Angribere kan udnytte sårbarheden til at få fat i op til 64 kilobyte data fra den sårbare server eller klient. Angrebet kan udføres flere gange, så flere klumper af data hentes.

Angriberen kan ikke styre, hvor de 64 KB data hentes fra i arbejdslageret. Der er risiko for, at private nøgler eller anden fortrolig information kan komme i de forkerte hænder.

Fejlen er rettet i OpenSSL 1.0.1g. Sårbarheden blev indført med version 1.0.1, der udkom for to år siden.

Hvis et websted er sårbart, kan angribere have udnyttet sårbarheden og fået fat i fortrolig information. Derfor må man overveje, om man skal tilbagekalde certifikater og generere nye private nøgler.

Anbefaling
Undersøg om I anvender en sårbar version af OpenSSL. Opdater i givet fald til version 1.0.1g. Overvej at generere nye private nøgler.

Links

• Heartbleed.com, information om sårbarheden
• OpenSSL Security Advisory: TLS heartbeat read overrun (CVE-2014-0160)
• OpenSSL ‘heartbleed’ bug live blog fra Fox IT
• Heartbleed test