Skoči na vsebino

SI-CERT 2014-03 / OpenSSL kritična ranljivost

Opis

Programska knjižnica OpenSSL vsebuje resno varnostno pomanjkljivost pri implementaciji razširitve heartbeat protokola TLS in DTLS. S posebej prirejenim zahtevkom lahko napadalec prebere 64kB podatkov iz delov pomnilniškega prostora strežnika, kjer se lahko nahajajo zelo občutljivi podatki, kot so avtentikacijski podatki o uporabnikih – gesla, sejni piškotki, in tudi zasebni ključ strežnika. Napad ne pušča sledi v dnevniških datotekah, zato po trenutno znanih podatkih ne vemo, ali se je ranljivost izkoriščala v napadih že pred 7.4.2014, ko je bila ranljivost javno objavljena.

Ranljive verzije

OpenSSL verzije 1.0.1 do vključno 1.0.1f.

Verzije, ki niso ranljive:

  • OpenSSL 1.0.1g,
  • OpenSSL 1.0.0 (celotna veja),
  • OpenSSL 0.9.8 (celotna veja).

Ranljivi so tako strežniki, kot tudi klienti, ki temeljijo na ranljivi verziji programske knjižnice OpenSSL.

Ali je vaš spletni strežnik ranljiv, lahko preverite na spletni strani https://sslanalyzer.comodoca.com, v razdelku “Protocol Features / Problems”, vrstica “Heartbeat”.

Rešitev

Administratorji

Administratorjem strežnikov, ki uporabljajo OpenSSL, svetujemo takojšnjo namestitev posodobljene verzije, preko posodobitev operacijskega sistema, ali neposredno z namestitvijo neranljive verzije knjižnice OpenSSL. Ker obstaja možnost, da so bili zlorabljeni šifrirni ključi in avtentikacijski podatki uporabnikov, je po odpravi ranljivosti potrebno zamenjavati šifrirne ključe na strežniku in ponastaviti avtentikacijske podatke (gesla, sejni piškotki itd.).

Administratorjem OpenVPN strežnikov svetujemo namestitev posodobljene verzije strežnika ter zamenjavo ključev na strežniku in odjemalcih (več informacij na https://community.openvpn.net/openvpn/wiki/heartbleed).

Skrbnikom drugih strežnikov in naprav, ki uporabljajo SSL/TLS protokol in morda uporabljajo ranljivo OpenSSL knjižnico, svetujemo, da se obrnejo neposredno na proizvajalca in informacije, objavljene na njihovih spletnih straneh.

Uporabniki storitev

Na spletni strani http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ se nahaja seznam spletnih strani, za katere priporočamo zamenjavo gesla. Gesla za ostale storitve zamenjajte, ko vas o tem pozove ponudnik storitve. Če niste prepričani, ali morate zamenjati geslo, kontaktirajte ponudnika storitve.

Ponudniki storitev

Ponudnike storitev pozivamo, da uporabnike obvestijo, ali je bila njihova storitev ranljiva, ter jih po odpravi ranljivosti (posodobitvi sistema in zamenjavi šifrirnih ključev) pozovejo k zamenjavi avtentikacijskih podatkov (gesla ipd.).

Odgovori na pogosta vprašanja

  1. Ali je Heartbleed virus?
    Ne, ne gre za virus, ki bi okuževal uporabniške računalnike, ampak za programsko pomanjkljivost v knjižnici OpenSSL, ki jo uporabljajo spletni in poštni strežniki za šifriranje komunikacije z uporabnikom. OpenSSL se uporablja tudi za druge šifrirane povezave.
  2. Koliko računalnikov v Sloveniji je ranljivih?
    Natančnih podatkov ta trenutek na SI-CERT še nimamo, ocene se gibljejo med 10 % in 20 %, zato so verjetno ocene o tem, da je ogroženih 2/3 spleta, pretirane (vsaj, dokler ne bodo na voljo dovolj zanesljivi podatki, ki bi tako trditev podprli).
  3. Baje so med ranljivimi tudi slovenske banke!
    Sklep o ranljivosti e-bančne storitve, ki ste ga morda videli na spletu, je bil kot kaže izpeljan na podlagi testa, ki ni popolnima zanesljiv. Zaenkrat nimamo podatkov o tem, da bi bili ogroženi komitenti kakšne banke, ki opravlja storitve v Sloveniji.
  4. Ali moram zamenjati vsa gesla?
    Najprej se pozanimajte pri svojem ponudniku, ali so njegove storitve bile ranljive. Ko bo ponudnik ranljivost odpravil in zamenjal ključe na strežniku, zamenjajte gesla tudi vi.

Povezave

Zadnja posodobitev 11.4.2014

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več