Alt om Heartblead saken

Svakheten kan gi angripere en mulighet til å lese kommunikasjon som skal være beskyttet med kryptering.

OpenSSL er et bibliotek for kryptert trafikk på Internettet, et bibliotek som brukes av mange servere. En angriper kan, ved å utnytte svakheten, lese all kommunikasjon mellom klient og tjener. Biblioteket er også standard på flere klienter, spesielt Linux- og BSD-distribusjoner.

Svakheten, som har fått navnet CVE-2014-0160, eller “the heartbleed bug”, gjelder OpenSSL 1.0.1 og opp mot 1.0.1f. Disse versjonene må oppdateres til versjon 1.0.1g.

Det er uvisst om svakheten utnyttes aktivt, men fordi det er relativt enkelt å utnytte svakheten, er det ikke usannsynlig.

NorSIS anbefaler

  • Hvis du er påvirket av svakheten, sjekk at du har nyeste versjon (1.0.1g).
  • Hvis distribusjon din ikke har oppdatert, kan du kompilere OpenSSL med flagget -DOPENSSL_NO_HEARTBEATS for å fjerne modulen som er sårbar.
  • Programvareleverandører som bruker biblioteket må oppdatere sin versjon for sine brukere.
  • Tjenesteleverandører må tilbakekalle kompromitterte nøkler og generere sertifikater på nytt, samt invalidere midlertidige sesjonsnøkler. Disse kan ha blitt kompromittert av svakheten uten at man vet om det.
  • En side som kan brukes for å teste om siden din er sårbar er: http://filippo.io/Heartbleed. Her kan du også teste om sider du besøker er sårbar. Hvis du logger inn på en side som er sårbar, så er ikke informasjonen trygg. Hvis en side du bruker er sårbar, kontakt gjerne leverandøren.
  • Det kan være lurt å bytte passord på sider som har vært sårbare, men ikke enda. Private nøkler kan ha kommet på avveier, derfor kan kommunikasjonen med serveren være usikker og det nye passordet kan derfor bli avlyttet. Her burde leverandøren varsle sine brukere. Siden passordet kan være kompromittert, bør du være ekstra varsom i fremtiden.

Les mer

Publisert: 9. april 2014

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.