Viðvörun vegna veikleika í OpenSSL (Heartbleed)

9. apríl, 2014

Viðvörun til þeirra sem reka netþjóna sem nota og styðjast við
OpenSSL, meðal annars vef- og póstþjóna.

Nýr og afar alvarlegur veikleiki hefur uppgötvast í OpenSSL útg. 1.0.1
og  1.0.2(beta). Hann er hægt að nota til að lesa vinnsluminni sem
tilheyrir forritum sem nýta OpenSSL.

Þetta táknar að tölvuþrjótum er nú þegar kleift að ná í mjög viðkvæm
gögn, til dæmis einkahluta auðkennislykla x.509 skírteina, notendanöfn
og lykilorð. Auðkenni viðskiptavina geta verið í hættu af þessum sökum
og er mikilvægt að upplýsa þá um það og grípa til viðeigandi ráðstafana.

Umfang atlagna að þessum veikleika er ekki þekkt en til að fyllsta
öryggis sé gætt, mælum við eindregið með að öllum slíkum upplýsingum sé
skipt út, m.a. skírteinum vef- og póstþjóna, á þeim netþjónum sem nota
útgáfu af OpenSSL sem hefur þennan veikleika. Einnig að notendur slíkra
kerfa séu hvattir til að breyta lykilorðum sínum. Áður mælir CERT-ÍS með
að veikar OpenSSL útgáfur séu uppfærðar í útgáfu 1.0.1g og að tryggt sé
að sérhver þjónusta sem nýtir OpenSSL, sé sömuleiðis endurræst strax
eftir uppfærsluna.

Frekari upplýsingar:

Sjá nánari upplýsingar um veikleikann hér

http://www.kb.cert.org/vuls/id/720951
http://heartbleed.com/
http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html

SNORT-signature hefur verið þróuð til að skynja atlögur að veikleikanum.
http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/

Hér má finna fleiri ráð við að prófa kerfi gagnvart þessum veikleika.
Notkun þeirra er á ábyrgð hvers og eins, þar sem okkur er ekki kunnugt
um hver rekur þessar síður, né í hvaða tilgangi.

https://www.ssllabs.com/ssltest/
http://possible.lv/tools/hb/

Og hér er önnur vefslóð með opnum kóða, sem hver og einn getur rýnt í
til að kanna áreiðanleikann,
https://github.com/titanous/heartbleeder

Sjá nánar um CERT-ÍS hér www.cert.is