Heartbleed CVE-2014-0160

Uppdatering: Läs även det nya inlägget här.

Då var det dags att uppgradera OpenSSL: En ny sårbarhet har identifierats i hanteringen av heartbeats.

Denna sårbarhet är synnerligen läskig då följden bl.a. kan bli att din privata nyckel läcker ut och en obehörig kan dekryptera tidigare eller pågående data såsom cookies (sessionsnycklar).

Detta gäller OpenSSL versioner 1.0.1 samt 1.0.2-beta men även 1.0.1f och 1.0.2-beta1.

Och här kan du testa om din server är sårbar: http://filippo.io/Heartbleed/

Glöm inte att sårbarheten gäller ej enbart https utan andra protokoll som förlitar sig på SSL/TLS och specifikt med hjälp av OpenSSL.

Teknisk analys av sårbarheten

Den första byten i SSLv3 paketen anger om det är ett heartbeat-paket eller ej. Koden som den är skriven förlitar sig på att klienten skickar tillräckligt med data. Vilket en angripare kan strunta i.

Har du blivit av med din privata nyckel så är det inte bara att byta.. och hur vet ni att ni blivit av med den privata nyckeln?

Även så ryktas det att denna sårbarhet påverkar klienter och ej enbart servrar.

Här finns RFC:n https://tools.ietf.org/html/rfc6520 och en mer teknisk analys finnes här:

blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

 

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

4 comments

  1. Trackback: HACKERNYTT.se - dagliga nyheter för dig som bygger framtiden
  2. Pingback: OpenSSL Heartbleed dag två | Kryptering
  3. Pingback: Heartbleed dag sex | Kryptering
  4. Pingback: Sex nya sårbarheter i OpenSSL | Kryptering

Skriv en kommentar