Läs också: NSA har använt sig av Heartbleed-buggen i minst två år
Tidigt i morse skickade OpenSSL ut ett meddelande om en allvarlig säkerhetsbrist och uppmanade alla webbsidor som använder OpenSSL att genast uppdatera till version 1.0.1g om så inte redan hade gjorts.
OpenSSL är den vanligast förekommande implementationen av SSL/TLS-kryptering i framförallt Unix- och Linuxservrar. Det är en mjukvara som uppskattningsvis över 65% av alla webbsidor med SSL använder för att kryptera känsliga uppgifter.
Buggens officiella beteckning är CVE-2014-0160 och finns närvarande i ett flertal versioner av OpenSSL – både stabila och beta.
Heartbleed-buggen gör att vem som helst kan ansluta mot en drabbad server och med speciella script plocka ut upp till 64kB data åt gången från serverns arbetsminne. Detta kan göras helt utan att lämna några som helst spår efter sig.
“Det är lite som att fiska”
De 64kB som kan hämtas ut från en server kommer från slumpvisa delar av serverns minne, vilket Array.se:s systemadministratör, Nicklas Löf, jämför med den betydligt mer harmlösa aktivitetet att fiska:
“Det hela är alltså från slumpvisa delar av minnet, så det är lite som att fiska – ibland får man inget (bara skräp) och ibland får man napp.”
Ett napp kan innebära att den som använder säkerhetshålet får med sig känsliga uppgifter som användarnamn och lösenord, session-ID eller i värsta fall serverns privata SSL-nyckel.
Om en ondsint lyckas plocka fram en session-ID innebär det i praktiken att denne kan ta över en aktuell inloggningssession utan användaren märker, och utan att förövaren känner till den inloggades användarnamn och lösenord.
Anno 2011
Heartbleed-buggen har funnits i OpenSSL sedan 2011, men blev har inte varit allmänt känd förrän idag när OpenSSL släppte en patch för att täppa till buggen. OpenSSL själva tackar en Google-anställd och en säkerhetsforskare på Codenomicon som både upptäckt och rapporterat säkerhetshålet. Om och i vilken utbredning säkerhetshålet utnyttjats innan idag är okänt.
De flesta webbsidor som har denna sårbarhet har förhoppningsvis redan uppdaterat sina servrar och därmed täppt till säkerhetshålet. En lista som genererades tidigt på tisdagskvällen visar att det just då fanns en rad stora webbsidor som fortfarande rullade på sårbara servrar. Yahoo är en av de större, likaså Imgur, Flickr och Stack Overflow.
Läs mer
För att veta mer om Heartbleed finns en speciell sida uppsatt med frågor och svar.
För dig som ingående vill läsa om hur säkerhetsbristen fungerar finns en gedigen genomgång att läsa av Sean Cassidy.
Och för dig som vill försäkra dig om att en webbsida har vidtagit de åtgärder som krävs finns det numera en testsida.
[source: http://heartbleed.com “Heartbleed”, https://www.openssl.org/news/secadv_20140407.txt “OpenSSL”, https://www.openssl.org “2”]