:

Szerző: Bodnár Ádám

2014. április 8. 10:17

Két éve tátongó sebezhetőséget foltozott be az OpenSSL

Az OpenSSL projekt egy nagyon rövid közleményben tudatta a nyilvánossággal, hogy egy 2012 márciusa óta létező biztonsági rést foltozott be.A hibán keresztül a támadók megszerezhették a titkosításhoz használt privát kulcsokat.

Legalább két éve sebezhető a számos weboldal és webes szolgáltatás által használt OpenSSL kriptográfiai könyvtár, a Transport Layer Security "heartbeat" kiterjesztésében található hiba lehetővé teszi a támadók számára, hogy a sebezhető OpenSSL-verzió által védett rendszerek memóriájában egy 64 kilobájtos szelethez hozzáférjenek és elérjék a szolgáltatók azonosítására és az adatforgalom titkosítására használt privát kulcsokat. A támadók így gyakorlatilag a szerver és kliens közt utazó minden információhoz szabadon hozzáférhetnek, a kulcsok birtokában pedig korábban zajlott kommunikációt is vissza tudnak fejteni utólag, amennyiben a titkosított adatok  rendelkezésre állnak.

Az OpenSSL könyvtár számos operációs rendszernek része, többek között változatos Linux-disztribúciókban (pl. Ubuntu, CentOS, Debian, Fedora, openSUSE) és BSD-kben is megtalálható. Ezt a könyvtárat használják változatos webszerverek (köztük az Apache és az nginx), emailszerverek, chatszerverek, VPN-ek és egyéb hálózati szoftverek. Nem tudni, a sebezhetőséget vajon kihasználják, kihasználták-e, és ezt a rendszernaplókból nem is lehet kideríteni, mivel a sérülékenységen keresztül kivitelezett támadásnak azokban nincs nyoma.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Az OpenSSL projekt weboldalán olvasható rövid tájékoztatás szerint a sebezhetőség az OpenSSL 1.0.1 és 1.0.2-beta1 kiadásait érinti, az 1.0.0 és 0.9.8 ágat nem. Az első sebezhető verzió 2012. március 13-én jelent meg, az azóta kiadott összes OpenSSL sérülékeny, az 1.0.1g az első, amely már tartalmazza a javítást. A sérülékeny OpenSSL-verziókat azonnal javasolt lecserélni, amennyiben ez nem lehetséges, akkor az OpenSSL újrafordítása is segít a "-DOPENSSL_NO_HEARTBEATS" opció használatával. A rendszergazdáknak azonnal javasolt a korábban kiadott kulcsok visszavonása és új kulcsok kiadása is.

A CVE-2014-0160 néven "anyakönyvezett" sérülékenységet a Heartbeat protokoll hibájára és az információszivárgásra való utalásként Heartbleednek nevezték el. A sebezhetőséget a Google egyik mérnöke és a Codenomicon nevű IT-biztonsági cég fedezte fel, a javításért pedig a Google csapatának jár a köszönet. A hiba publikálása előtt a legtöbb OpenSSL-vendort értesítették a problémáról, a nagy látogatottságú oldalak üzemeltetői (pl. Google, Facebook, stb) már bizonyára a javított implementációt alkalmazzák.

A Heartbleedről részletes információ a heartbleed.com weboldalon, még alaposabb, kódszintű boncolása pedig itt érhető el. Magyarul szokás szerint a BuheraBlog szolgál részletekkel.

a címlapról