torsdag 10 april 2014

Heartbleed-buggen: "Många tjänster drabbade" - Computer Sweden

Heartbleed-buggen: "Många tjänster drabbade" - Computer Sweden



Buggen i krypteringslösningen Openssl gör det möjligt att komma
åt minnesinnehåll på krypterade webbtjänster. Framför allt Linux- och
Unixservrar drabbas. Nu uppmanar experter till omedelbar uppdatering.




En bugg i
Openssl lämnar öppet för intrång i en stor mängd webbtjänster som körs
på framför allt Linux- och Unixservrar. Openssl är en öppen
implementation av krypteringsprotokollen ssl och tls.


Buggen som kallas CVE-2014-0160
finns i versionerna 1.0.1 till 1.0.1f av Openssl. Säkerhetshålet uppstår
när protokollet tls eller varianten dtls används. Mycket enkelt
uttryckt använder webbtjänster med adresser som börjar med https den här
säkerhetslösningen. I praktiken kan vilken typ av tjänst som helst
drabbas, det kan till exempel röra sig om lösningar för lastbalansering.


Buggen yttrar sig i att en drabbad
webbtjänst ”läcker minnesinnehåll”. En inkräktare kan komma åt
godtyckligt minnesinnehåll i block om 64 kB åt gången. För att
inkräktaren ska kunna använda minnesinnehållet måste det alltså tolkas
först.


Hur allvarlig är buggen?


– Det är väldigt många tjänster som använder den här tekniken, säger Johan Ekman, säkerhetsexpert på Truesec.


Han påtalar dock att många är i färd
med att uppgradera till version 1.0.1g av Openssl som släpptes i går,
måndag, och innehåller en fix för buggen.


– Det går även att uppdatera med
fixen för lösningar som utnyttjar äldre versioner av Openssl. Många
Linuxdistributioner uppdateras just nu, säger Johan Ekman. 

Inga kommentarer:

Skicka en kommentar