Nagyon durva hiba miatt kerültek veszélybe a webszerverek

Nem kis riadalmat okozott világszerte a tegnapi bejelentés, mely szerint a Google és a Codenomicon biztonsági cég kutatói egy kritikus, a legmagasabb szintű sérülékenységet találtak az az OpenSSL 1.0.1-es főverziójában, mely támadók számára lehetővé teszi, hogy minden bizalmas adatot (jelszavakat, banki azonosítókat stb.) megszerezzenek az adott szerverről.

A hiba leírását és lehetséges következményeit Buherator blogjáról idézzük:

[a biztonsági rés] …a távoli támadók számára kiszivárogtathatja a kommunikációs csatornák titkosítására használt privát kulcso(ka)t. Igen, jól olvastátok, a hibán keresztül kiszivároghat a szervertanúsítvány privát kulcsa is, amivel aztán minden korábbi, illetve jövőbeni kommunikáció megfejthető (a Perfect Forward Secrecyt implementáló csatornák védettek a retrospektív támadásoktól).

A sérülékenység egy memóriatartalom kiszivárgását okozó implementációs probléma a TLS protokoll Heartbeat kiegészítésében, melyen keresztül egyetlen csomag elküldése után legfeljebb 64k adat olvasható ki az érintett processz memóriájából.

A problémát az OpenSSL könyvtár 1.0.1g változatában javították, az 1.0.0 és 0.9.8 főverziók nem érintettek.

Az OpenSSL csomagot a világ webkiszolgálóinak 66%-a használja, az érintett verziók már két éve forgalomban vannak. Néhány népszerű, valószínűleg érintett Linux disztribució:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

A sérülékenység kihasználása a szerveroldalon nem hagy nyomot ezért – a legrosszabb esettel számolva – elméletileg minden érintett verziót futtató szolgáltatáson tanúsítványt kellene cserélni a szoftver frissítése mellett.

A kutatók készítettek egy tesztoldalt a szerverek gyors ellenőrzésére.

Azóta történt

Előzmények