Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Nyheder: TLS "Hjertebløder" fejl i OpenSSL

April 8, 2014, 1:02 am
$
0
0

En kritisk fejl i et krypto bibliotek (heartbeat funktionalitet), som estimeres til at blive anvendt i to tredjedele af alle OpenSSL implementeringer, giver mulig for at læse krypteret indhold i sikker webkommunikation. Problemet rammer både Apache, NGINX og TOR samt talrige andre services. OpenSSL har besvaret fejlen ved at frigive version 1.0.1g.

Fejlen, som har eksisteret i mere end to år, i flere versioner af produktionsudgaven af OpenSSL, har åbnet mulighed for Man-in-the-Middle angreb, hvor en person kan misbruge implementeringssvagheden til at lytte med på krypteret trafik. Problemet skyldes, teknisk set, et manglende bounds check under håndtering i TLS heartbeat udvidelsen (RFC6520) som udløser et read overrun.. Fejlen befinder sig i alle OpenSSL baserede services og ikke udelukkende HTTPS, men også SMTP med STARTTLS, IMAP over SSL og FTP over SSL.  

Denne sårbarhed har fået kælenavnet "Heartbleed" og modtaget følgende CVE-ID: CVE-2014-0160. Hullet har massive downstream komplikationer og alle som anvender ELB er sårbare.

Bemærk, at den centrale del af denne sårbarhed, som sådan ikke udelukkende er isoleret til OpenSSL men det faktum at dine private nøgler til server-side certificater er eksponeret for tredjepart. En angriber kan stjæle private certifikater, brugernavne/passwords, email, og foretningskritiske dokumenter og kommunikation.

OpenSSL fra version 1.0.1 til 1.0.1f og 1.0.2-beta er sårbare. CSIS anbefaler at alle opgraderer til version 1.0.1g eller som et "workaround" kompilerer OpenSSL til at bruges uden heartbeats udvidelsen: "-DOPENSSL_NO_HEARTBEATS". Derudover skal man skifte den private nøgle som er knyttet til installationen.

PoC er i omløb, hvilket øger risikoen for misbrug betragteligt.

Der er tilmed oprettet en webside, hvorfra man kan teste om ens services/applikationer er sikre:
http://filippo.io/Heartbleed/

Bemærk, at denne udelukkende checker webservices.


Yderligere oplysninger:
http://heartbleed.com/
https://www.openssl.org/news/secadv_20140407.txt

Teknisk analyse:
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

Search
Viewing all articles
Browse latest Browse all 247

Trending Articles

Grand galla med gull og glitter

March 19, 2015, 8:59 am

Psykiater Tonny Westergaard

July 25, 2013, 4:47 pm

Jav Uncensored - Tokyo-Hot n1002 Miyu Kitagawa

November 25, 2014, 8:41 am

Moriya Suwako (Touhou)

June 3, 2015, 5:00 pm

BRODERET KLOKKESTRENG MED ORDSPROG 14 X 135 CM.

May 5, 2019, 9:22 am

Naruto Shippuden Episode 471 Subtitle Indonesia

August 11, 2016, 2:02 am

Fin gl. teske i sølv - 2 tårnet - stemplet

February 10, 2016, 4:02 am

Kaffefilterholder fra Knabstrup

March 12, 2017, 12:52 pm

Anders Agger i Herstedvester

June 23, 2013, 12:45 pm

Onkel Joakims Lykkemønt *3 stk* *** Perfekt Stand ***

June 28, 2013, 9:52 am

Sælges: Coral Beta/Flat (Højttaler-enheder)

March 5, 2017, 10:49 am

Starwars landspeeder 7110

March 3, 2020, 6:56 am

NMB48 – Durian Shounen (Dance Version) [2015.07.15]

June 18, 2019, 10:52 am

Le bonheur | question de l'autre

October 24, 2011, 10:19 am

Scope.dk som agent?

December 22, 2015, 12:16 am

Akemi Homura & Kaname Madoka (Puella Magi Madoka Magica)

March 4, 2014, 9:00 am

Tidemands taffel-marmelade julen1934+julen 1937+julen 1938.

September 5, 2018, 12:01 pm

Re: KZUBR MIG/MMA 300 zamena tranzistora

March 14, 2023, 4:33 am

Analyse 0 mundtlig eksamen

February 11, 2017, 3:44 am

DIY - Hæklet bil og flyvemaskine

February 8, 2015, 5:18 am
Search