2014-04-09 - Viðvörun vegna veikleika í OpenSSL (Heartbleed)

Nýr og afar alvarlegur veikleiki hefur uppgötvast í OpenSSL útg. 1.0.1 og 1.0.2(beta). Hann er hægt að nota til að lesa vinnsluminni sem tilheyrir forritum sem nýta OpenSSL.

Þetta táknar að tölvuþrjótum er nú þegar kleift að ná í mjög viðkvæm gögn, til dæmis einkahluta auðkennislykla x.509 skírteina, notendanöfn og lykilorð. Auðkenni viðskiptavina geta verið í hættu af þessum sökum og er mikilvægt að upplýsa þá um það og grípa til viðeigandi ráðstafana.

Umfang atlagna að þessum veikleika er ekki þekkt en til að fyllsta öryggis sé gætt, mælum við eindregið með að öllum slíkum upplýsingum sé skipt út, m.a. skírteinum vef- og póstþjóna, á þeim netþjónum sem nota útgáfu af OpenSSL sem hefur þennan veikleika. Einnig að notendur slíkra kerfa séu hvattir til að breyta lykilorðum sínum. Áður mælir CERT-ÍS með að veikar OpenSSL útgáfur séu uppfærðar í útgáfu 1.0.1g og að tryggt sé að sérhver þjónusta sem nýtir OpenSSL, sé sömuleiðis endurræst strax eftir uppfærsluna.

Frekari upplýsingar: Sjá nánari upplýsingar um veikleikann hér

SNORT-signature hefur verið þróuð til að skynja atlögur að veikleikanum.

Hér má finna fleiri ráð við að prófa kerfi gagnvart þessum veikleika. Notkun þeirra er á ábyrgð hvers og eins, þar sem okkur er ekki kunnugt um hver rekur þessar síður, né í hvaða tilgangi.

Og hér er önnur vefslóð með opnum kóða, sem hver og einn getur rýnt í til að kanna áreiðanleikann,