Nyheter

Allvarliga Heartbleed-buggen drabbar miljontals sajter

Foto: Flickr (CC)

Läs ock­så: NSA har använt sig av Heart­bleed-buggen i minst två år

Tidigt i morse skick­ade OpenSSL ut ett med­de­lande om en all­varlig säk­er­hets­brist och upp­manade alla webb­si­dor som använ­der OpenSSL att genast upp­dat­era till ver­sion 1.0.1g om så inte redan hade gjorts.

OpenSSL är den van­li­gast förekom­mande imple­men­ta­tio­nen av SSL/TLS-krypter­ing i fram­förallt Unix- och Lin­uxservrar. Det är en mjuk­vara som upp­skat­tningsvis över 65% av alla webb­si­dor med SSL använ­der för att kryptera känsli­ga uppgifter.

Buggens offi­ciel­la beteck­n­ing är CVE-2014–0160 och finns när­varande i ett fler­tal ver­sion­er av OpenSSL – både sta­bi­la och beta.

Heart­bleed-buggen gör att vem som helst kan anslu­ta mot en drab­bad serv­er och med speciel­la script ploc­ka ut upp till 64kB data åt gån­gen från serverns arbetsminne. Det­ta kan göras helt utan att läm­na några som helst spår efter sig.

“Det är lite som att fiska”

De 64kB som kan häm­tas ut från en serv­er kom­mer från slumpvisa delar av serverns minne, vilket Array.se:s sys­temad­min­is­tratör, Nick­las Löf, jäm­för med den bety­dligt mer harm­lösa aktivitetet att fiska:

“Det hela är allt­så från slumpvisa delar av min­net, så det är lite som att fiska – ibland får man inget (bara skräp) och ibland får man napp.”

Ett napp kan innebära att den som använ­der säk­er­het­shålet får med sig känsli­ga uppgifter som använ­dar­namn och lösenord, ses­sion-ID eller i värs­ta fall serverns pri­va­ta SSL-nyck­el.

Om en ondsint lyckas ploc­ka fram en ses­sion-ID innebär det i prak­tiken att denne kan ta över en aktuell inlog­gn­ingsses­sion utan använ­daren märk­er, och utan att förö­varen kän­ner till den inlog­gades använ­dar­namn och lösenord.

Anno 2011

Heart­bleed-buggen har fun­nits i OpenSSL sedan 2011, men blev har inte var­it allmänt känd för­rän idag när OpenSSL släppte en patch för att täp­pa till buggen. OpenSSL själ­va tackar en Google-anställd och en säk­er­hets­forskare på Code­nomi­con som både upp­täckt och rap­porter­at säk­er­het­shålet. Om och i vilken utbred­ning säk­er­het­shålet utnyt­t­jats innan idag är okänt.

De fles­ta webb­si­dor som har den­na sår­barhet har förhopp­n­ingsvis redan upp­dat­er­at sina servrar och därmed täppt till säk­er­het­shålet. En lista som gener­erades tidigt på tis­dagskvällen vis­ar att det just då fanns en rad sto­ra webb­si­dor som fort­farande rul­lade på sår­bara servrar. Yahoo är en av de större, likaså Imgur, Flickr och Stack Over­flow.

Läs mer

För att veta mer om Heart­bleed finns en speciell sida upp­satt med frå­gor och svar.

För dig som ingående vill läsa om hur säk­er­hets­bris­ten funger­ar finns en gedi­gen genomgång att läsa av Sean Cas­sidy.

Och för dig som vill försäkra dig om att en webb­si­da har vid­tag­it de åtgärder som krävs finns det numera en test­si­da.

[source: http://heartbleed.com “Heart­bleed”, https://www.openssl.org/news/secadv_20140407.txt “OpenSSL”, https://www.openssl.org “2”]

Kommentarer