Heartbleed CVE-2014-0160
Uppdatering: Läs även det nya inlägget här.
Då var det dags att uppgradera OpenSSL: En ny sårbarhet har identifierats i hanteringen av heartbeats.
Denna sårbarhet är synnerligen läskig då följden bl.a. kan bli att din privata nyckel läcker ut och en obehörig kan dekryptera tidigare eller pågående data såsom cookies (sessionsnycklar).
Detta gäller OpenSSL versioner 1.0.1 samt 1.0.2-beta men även 1.0.1f och 1.0.2-beta1.
Och här kan du testa om din server är sårbar: http://filippo.io/Heartbleed/
Glöm inte att sårbarheten gäller ej enbart https utan andra protokoll som förlitar sig på SSL/TLS och specifikt med hjälp av OpenSSL.
Teknisk analys av sårbarheten
Den första byten i SSLv3 paketen anger om det är ett heartbeat-paket eller ej. Koden som den är skriven förlitar sig på att klienten skickar tillräckligt med data. Vilket en angripare kan strunta i.
Har du blivit av med din privata nyckel så är det inte bara att byta.. och hur vet ni att ni blivit av med den privata nyckeln?
Även så ryktas det att denna sårbarhet påverkar klienter och ej enbart servrar.
Här finns RFC:n https://tools.ietf.org/html/rfc6520 och en mer teknisk analys finnes här:
blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
@addelindh @dinodaizovi heartbleed leaves no logs, leaks keys, high reliability. Its just as good as a RCE when it comes to usability IMO
— Chris Rohlf (@chrisrohlf) April 8, 2014
4 comments