Hjartasár á netinu
Þar sem mörg frjáls hugbúnaðarkerfi nýta OpenSSL þykir það stór frétt þegar veilur koma í ljós í jafn mikilvægu kerfi og OpenSSL er.
Hvar liggur vandinn?
Síðastliðinn mánudag fannst veikleiki sem hefur valdið miklu uppnámi. Hann er að finna í viðbót við OpenSSL sem nefnd hefur verið hjartsláttur (e. “heartbeat” - RFC6520). Af þessum sökum hefur veilan fengið nafnbótina hjartablæðing (e. heartbleed). Þetta er vegna galla sem tengist ekki beint rafrænum skilríkjum, heldur kerfi sem beitir rafrænum skilríkjunum, þ.e. OpenSSL. Veiluna er aðeins að finna í ákveðinni útgáfu af OpenSSL. Það þýðir að það er ekki gefið að þó vefmiðlarinn nýti OpenSSL að veilan sé þar til staðar. Veilan er eingöngu í útgáfum 1.0.1 til og með 1.0.1f sem eru með hjartsláttarviðbótinni virkri. Ef vefmiðlarinn þinn hefur aldrei notað þessar útgáfur af OpenSSL og hjartsláttarviðbótina þá þarftu ekki að hafa áhyggjur af þessari veilu. Notendur Microsoft vefþjóna geta andað léttar, þar sem þessi veila hefur ekki áhrif á þá. Mikilvægt er að eigendur miðlara gangi úr skugga um að þeirra kerfi sé ekki með blæðandi hjarta með því að leita ráða hjá sérfræðingum í upplýsingaöryggi.
Upplýsingaleki
Kjarni vandans er sá að óprúttinn aðili getur sent sérsmíðað skeyti á miðlara sem hrjáist af hjartasári og miðlarinn sendir svar til baka ásamt ýmsum upplýsingum sem áttu ekki að vera aðgengilegar. Nánar tiltekið þá getur hinn óprúttni aðili sent skeyti á vefmiðlarann og fengið til baka handahófskennt innihald (um 64 Kb blokk) úr minnissvæði miðlarans. Í þessu minnissvæði gætu leynst viðkvæmar upplýsingar svo sem lykilorð eða lyklar. Þessi aðili getur sent eins mörg skeyti og hann vill og safnað þannig gögnum úr vinnsluminni miðlarans. Hinn óprúttni aðili hefur ekki beinan aðgang að gögnum miðlarans heldur getur hann skoðað upplýsingar sem eru í vinnsluminninu á gefnu augnabliki. Veilan hefur verið til staðar í OpenSSL frá árinu 2011 þegar, að því er virðist, kóði OpenSSL var uppfærður. Vandinn er að ekki er með neinu móti hægt að fullyrða hvort einhver aðili hafi gengið á lagið og nýtt sér þessa veilu til óhæfuverka.
Hvað er til ráða?
- Greina hvort vefmiðlarinn þinn sé meðal þeirra sem veilan hefur áhrif á (OpenSSL útgáfur 1.0.1 til og með 1.0.1f, með hjartsláttarviðbótinni virkri).
- Ef ofangreint á við, uppfærðu vefmiðlarann þannig að hann noti nýjustu útgáfuna af OpenSSL(1.0.1g) eða gerðu hjartsláttarviðbótina óvirka.
- Búðu til útgáfubeiðni fyrir ný rafræn skilríki (CSR)
- Sendu útgáfubeiðnina til útgefanda skilríkjanna þinna (gættu þess að uppfæra OpenSSL fyrst)
- Þegar skilríkin hafa verið gefin út, setur þú nýju skilríkin inn og prufar uppsetninguna
- Afturkallaðu skilríkin (e.revoke) sem skipt var um
Vefstjórar ættu að íhuga hvort ástæða sé til að endursetja leyniorð notenda sem gætu mögulega hafa verið sýnileg í minni miðlarans