Két éve tátongó sebezhetőséget foltozott be az OpenSSL
Az OpenSSL projekt egy nagyon rövid közleményben tudatta a nyilvánossággal, hogy egy 2012 márciusa óta létező biztonsági rést foltozott be.A hibán keresztül a támadók megszerezhették a titkosításhoz használt privát kulcsokat.
Legalább két éve sebezhető a számos weboldal és webes szolgáltatás által használt OpenSSL kriptográfiai könyvtár, a Transport Layer Security "heartbeat" kiterjesztésében található hiba lehetővé teszi a támadók számára, hogy a sebezhető OpenSSL-verzió által védett rendszerek memóriájában egy 64 kilobájtos szelethez hozzáférjenek és elérjék a szolgáltatók azonosítására és az adatforgalom titkosítására használt privát kulcsokat. A támadók így gyakorlatilag a szerver és kliens közt utazó minden információhoz szabadon hozzáférhetnek, a kulcsok birtokában pedig korábban zajlott kommunikációt is vissza tudnak fejteni utólag, amennyiben a titkosított adatok rendelkezésre állnak.
Az OpenSSL könyvtár számos operációs rendszernek része, többek között változatos Linux-disztribúciókban (pl. Ubuntu, CentOS, Debian, Fedora, openSUSE) és BSD-kben is megtalálható. Ezt a könyvtárat használják változatos webszerverek (köztük az Apache és az nginx), emailszerverek, chatszerverek, VPN-ek és egyéb hálózati szoftverek. Nem tudni, a sebezhetőséget vajon kihasználják, kihasználták-e, és ezt a rendszernaplókból nem is lehet kideríteni, mivel a sérülékenységen keresztül kivitelezett támadásnak azokban nincs nyoma.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Az OpenSSL projekt weboldalán olvasható rövid tájékoztatás szerint a sebezhetőség az OpenSSL 1.0.1 és 1.0.2-beta1 kiadásait érinti, az 1.0.0 és 0.9.8 ágat nem. Az első sebezhető verzió 2012. március 13-én jelent meg, az azóta kiadott összes OpenSSL sérülékeny, az 1.0.1g az első, amely már tartalmazza a javítást. A sérülékeny OpenSSL-verziókat azonnal javasolt lecserélni, amennyiben ez nem lehetséges, akkor az OpenSSL újrafordítása is segít a "-DOPENSSL_NO_HEARTBEATS" opció használatával. A rendszergazdáknak azonnal javasolt a korábban kiadott kulcsok visszavonása és új kulcsok kiadása is.
A CVE-2014-0160 néven "anyakönyvezett" sérülékenységet a Heartbeat protokoll hibájára és az információszivárgásra való utalásként Heartbleednek nevezték el. A sebezhetőséget a Google egyik mérnöke és a Codenomicon nevű IT-biztonsági cég fedezte fel, a javításért pedig a Google csapatának jár a köszönet. A hiba publikálása előtt a legtöbb OpenSSL-vendort értesítették a problémáról, a nagy látogatottságú oldalak üzemeltetői (pl. Google, Facebook, stb) már bizonyára a javított implementációt alkalmazzák.
A Heartbleedről részletes információ a heartbleed.com weboldalon, még alaposabb, kódszintű boncolása pedig itt érhető el. Magyarul szokás szerint a BuheraBlog szolgál részletekkel.