Uppdaterad | Publicerad
Ny sårbarhet i OpenSSL 1.0.1
Sårbarheten i OpenSSL 1.0.1 kan användas för att läsa privat minne
hos den applikation som skyddas med OpenSSL och därigenom få tag i till exempel nycklar från X.509 certifikat, användarnamn och lösenord.
Då denna sårbarhet gör det möjligt för en angripare att "läsa ut" den privata nyckeln till X.509 certifikat
så rekomenderar CERT-SE byte av certifikat samt andra hemligheter (till exempel inloggningsuppgifter) som kan ha läckts.
CERT-SE rekomenderar uppgradering till OpenSSL version 1.0.1g
Observera att automatiska uppgraderingar på till exempel Linux troligen kräver att tjänsten startas om.
För ytterligare information se:
http://www.kb.cert.org/vuls/id/720951
http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html
https://www.schneier.com/blog/archives/2014/04/heartbleed.html
Denna länk innehåller SNORT-signaturer för att upptäcka en angripare
http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
Det finns ett antal självtestverktyg upplagda på nätet nu. CERT-SE vet inte vem som står bakom dessa
och hur effektiva de är. Har ni har behov av att testa era system och bedömer den eventuella risken
med att testsajten kartlägger era sårbarheter som godtagbar så kan ni använda följande:
https://www.ssllabs.com/ssltest/
Och här är en länk till ett skript som också testar för sårbarheten, med öppen kod som ni kan verifiera själva
https://github.com/titanous/heartbleeder
NCSC-FI har skapat en uppdaterad lista över leverantörer eller produkter som är drabbade:
https://www.cert.fi/en/reports/2014/vulnerability788210.html
SANS ISC har gjort detsamma:
https://isc.sans.edu/diary/Heartbleed+vendor+notifications/17929
Uppdaterat 2014-04-16 Lista över några sajter som du behöver byta lösenord på. Observera att detta inte är en komplett lista.
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/