Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Uppdaterad | Publicerad - Sårbarhet

Ny sårbarhet i OpenSSL 1.0.1

Sårbarheten i OpenSSL 1.0.1 kan användas för att läsa privat minne
hos den applikation som skyddas med OpenSSL och därigenom få tag i till exempel nycklar från X.509 certifikat, användarnamn och lösenord.

Då denna sårbarhet gör det möjligt för en angripare att "läsa ut" den privata nyckeln till X.509 certifikat
så rekomenderar CERT-SE byte av certifikat samt andra hemligheter (till exempel inloggningsuppgifter) som kan ha läckts.

CERT-SE rekomenderar uppgradering till OpenSSL version 1.0.1g
Observera att automatiska uppgraderingar på till exempel Linux troligen kräver att tjänsten startas om.

För ytterligare information se:

http://www.kb.cert.org/vuls/id/720951

http://heartbleed.com/

http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html

https://www.schneier.com/blog/archives/2014/04/heartbleed.html

Denna länk innehåller SNORT-signaturer för att upptäcka en angripare

http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/

Det finns ett antal självtestverktyg upplagda på nätet nu. CERT-SE vet inte vem som står bakom dessa
och hur effektiva de är. Har ni har behov av att testa era system och bedömer den eventuella risken
med att testsajten kartlägger era sårbarheter som godtagbar så kan ni använda följande:

https://www.ssllabs.com/ssltest/

http://possible.lv/tools/hb/

Och här är en länk till ett skript som också testar för sårbarheten, med öppen kod som ni kan verifiera själva

https://github.com/titanous/heartbleeder

NCSC-FI har skapat en uppdaterad lista över leverantörer eller produkter som är drabbade:

https://www.cert.fi/en/reports/2014/vulnerability788210.html

SANS ISC har gjort detsamma:

https://isc.sans.edu/diary/Heartbleed+vendor+notifications/17929

Uppdaterat 2014-04-16 Lista över några sajter som du behöver byta lösenord på. Observera att detta inte är en komplett lista.

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/