2014
04.08

Normalt plejer jeg ikke at kommentere på bugs, der bliver fundet i software, men alligevel er jeg nødt til at kommentere på det OpenSSL bug, der igår d. 7 april blev publiceret af et sikkerhedshold (Riku, Antti og Matti) i firmaet Codenomicon og af Neel Mehta fra firmaet Google Security. Bug’et, som har fået navnet CVE-2014-0160 er et af tidens nok værste bugs. Mange protokoller og applikationer afhænger af OpenSSL, som generelt set har været berømmet som en sikker certifikat-applikation. Således er OpenSSL implementeret ikke blot på webservere som Apache og IIS – men også på sikkerhedsprodukter som f.eks. OpenVPN.

Hvorfor er bugget så katastrofalt at bl.a. jeg vælger at skrive om det? Det er fordi at bug’et gør det muligt for en ondsindet person at tømme hukommelsen ud af systemet, der bruger OpenSSL. Det gør at man med en enhver OpenSSL-baseret autentifikation rent faktisk kan dumpe hukommelsen – og udpakke f.eks. certifikater, koder etc. af det binære dump.

Læs mere om bug’et på http://heartbleed.com/ – her kan du også finde links til testere, så du kan se om din HTTPS-hjemmeside er ramt af bug’et – og om du har løst problemet efter opdatering af dit system.

 

Opdateret

Nyhed: Nu har Version2 publiceret en artikel, hvor de anbefaler alle at ændre koder: http://www.version2.dk/artikel/ekspert-efter-omfattende-ssl-saarbarhed-derfor-skal-du-skifte-alle-dine-kodeord-57246

Mit råd er ikke at opdatere din kode, før du har vished for at dine sites er opdateret med nyeste version af OpenSSL. Der er nemlig større chance for at dumpet vil indeholde dumpet, hvis du laver aktivitet et SSL-site som endnu ikke er beskyttet.