Allvarlig sårbarhet i OpenSSL – Heartbleed – CVE-2014-0160

HexBit skriver sällan om enskilda sårbarheter, då vi väljer att göra det beror det på att hotet är mycket stort. Detta stämmer mycket väl in på den sårbarheten CVE-2014-0160, som fått namnet Heartbleed och berör produkten OpenSSL.

OpenSSL används på mycket bred bas på Internet för kryptering av sessioner, exempelvis i VPN, trafik mot din bank och så vidare. OpenSSL är en av de mest implementationerna av SSL-stöd och finns i väldigt många produkter, inte bara i datorer.

Sårbarheten i OpenSSL gör det möjligt att utan autenticering läsa information ur den attackerade datorns minne. Det innebär att till exempel kryptonycklar som används för att skydda krypterad trafik kan kopieras, i vissa fall har även dokument och lösenord kunnat kopiera ur en dators minne med hjälp av problemen som sårbarheten utgör.

Vi rekommenderar alla att se över samtliga sina produkter och uppdatera dem utan dröjsmål. Om det saknas uppgraderingar för er produkt och den är berörd uppmanas ni att stöta på er leverantör så att de skyndsamt åtgärdar problemet.

Mer information om sårbarheten kan hämtas på följande sidor http://heartbleed.com/, https://www.openssl.org/news/secadv_20140407.txt och http://www.kb.cert.org/vuls/id/720951

På följande länk finns en funktion för att kontrollera om en webbserver har problemet http://possible.lv/tools/hb/

För test av andra typer av system och rådgivning angående Heartbleed rekommenderar vi att ni kontaktar oss.