mboost-dp1

SXC - clix

Kritisk fejl i kryptering i OpenSSL åbner for følsom data

- Via Ars Technica - , indsendt af Nielson

OpenSSL anvendes på en stor del af verdens servere til at beskytte følsom information. Nu viser det sig, at en fejl i den bagvedliggende kode, åbner et kæmpe sikkerhedshul ind til disse systemer.

Fejlen går under navnet Heartbleed og gør det muligt for uvedkommende at trække ukrypteret data ud fra sårbare servere. Det sker ved at forespørge serveren på en ganske bestemt måde, hvorved den returnerer indhold fra hukommelsen. I dette indhold kan der findes alt fra fortrolige informationer, adgangskoder til i værste fald, den private nøgle til serveren.

Hos Ars Technica kalder de fejlen for en katastrofe og hvad værre er, at fejlen har eksisteret i to år, så det er uvist hvor lang tid den er blevet udnyttet.

Organisationen bag OpenSSL har udsendt en ny version, v. 1.0.1g, som alle anbefales at opgradere til omgående.





Gå til bund
Gravatar #1 - kurt7
9. apr. 2014 08:31
Er det øv for NSA?
Gravatar #2 - SAN
9. apr. 2014 08:38
Nah, hvis de er bare lidt smarte, så har de mere end en bagdør ;-)
Gravatar #3 - Smasher
9. apr. 2014 09:01
Når man afgiver sine kreditkort oplysninger på en side, kan man så tjekke om de har fået opdateret OpenSSL?
Gravatar #4 - amplificator
9. apr. 2014 10:06
#3
Denne side skulle kunne teste for det:
https://sslcheck.globalsign.com/

Edit: Jeg har lige lavet en scan med ovennævnte link før og efter jeg har opdateret openssl på min egen server.. den er god nok :)
Gravatar #5 - HerrMansen
9. apr. 2014 10:14
Det bedste er at der ingen spor er af forespørgslen - teh ultimate memory leak.
Gravatar #6 - Smasher
9. apr. 2014 12:05
#4

Tak for linket :-)
Gravatar #7 - bodhiBit
9. apr. 2014 12:12
Relevant XKCD
Gravatar #8 - gramps
9. apr. 2014 12:22
De tider hvor man bare udgav en notits om en sikkerhedsfejl er ovre. Nu er man åbenbart nødt til at lave et fedt navn for fejlen, et logo og gudhjælpemig en .com-adresse.
Gravatar #9 - Hængerøven
9. apr. 2014 14:50
gramps (8) skrev:
De tider hvor man bare udgav en notits om en sikkerhedsfejl er ovre. Nu er man åbenbart nødt til at lave et fedt navn for fejlen, et logo og gudhjælpemig en .com-adresse.


Mon ikke det er grundet fejlens kaliber?
Gravatar #10 - kasperd
9. apr. 2014 19:45
HerrMansen (5) skrev:
Det bedste er at der ingen spor er af forespørgslen - teh ultimate memory leak.
Det hedder nu en information leak, en memory leak er noget ganske andet.
Gravatar #11 - HerrMansen
9. apr. 2014 22:18
kasperd (10) skrev:
Det hedder nu en information leak, en memory leak er noget ganske andet.


The joke - You did naat get iit.

Den giver dig hukommelsen retur - Ergo lækker den memory.
Gravatar #12 - kurt7
10. apr. 2014 08:43
De har valgt formuleringen "leak of memory" på heartbleed.com. Så HerrMansen er undskyldt.
Gravatar #13 - kurt7
10. apr. 2014 08:59
http://blog.existentialize.com/diagnosis-of-the-op...

Jeg forstår egentlig ikke, hvordan man kan glemme at efterkontrollere oplysningerne fra klienten. Begynderfejl eller #1? :-)
Gravatar #14 - Zombie Steve Jobs
10. apr. 2014 10:21
Og nu begynder alle at dele den på FB, lortet har fået et LOGO -ET LOGO?!

Helt ærligt. Pis mig i øret.
Gravatar #15 - tougher
10. apr. 2014 13:05
login.newz.dk er ikke sikker :-O
Se http://filippo.io/Heartbleed/#login.newz.dk
Gravatar #16 - arne_v
10. apr. 2014 13:25
kurt7 (12) skrev:
De har valgt formuleringen "leak of memory" på heartbleed.com. Så HerrMansen er undskyldt.


Nej - det gør de ikke.

De bruger "leak of memory contents".

Og der er stor forskel på at leake memory content og leake memory.

Gravatar #17 - Slettet Bruger [1484672142]
10. apr. 2014 16:01
Det ser ud til at mine apache servere er patched, dejligt.
Gravatar #18 - Jim Night
10. apr. 2014 19:54
Zombie Steve Jobs (14) skrev:


Helt ærligt. Pis mig i øret.


Hvor bor du?
Gravatar #19 - arne_v
11. apr. 2014 00:15
Nu er det her jo blever erklæret det mest farlige på internettet nogensinde.

Men er der nogen som har hørt om et tilfælde hvor sårbarheden er blevet udnyttet?
Gravatar #20 - amplificator
11. apr. 2014 02:34
#19
Det er jo lidt det som de kører på.. man ved det nemlig ikke, fordi fejlen har eksisteret i et par år.
Gravatar #21 - Zombie Steve Jobs
11. apr. 2014 06:41
Jim Night (18) skrev:
Zombie Steve Jobs (14) skrev:


Helt ærligt. Pis mig i øret.


Hvor bor du?


Jeg er desværre ikke homoseksuel, men hvis du var dame skulle det være i munden.
Gravatar #22 - gramps
11. apr. 2014 07:21
arne_v (19) skrev:
Nu er det her jo blever erklæret det mest farlige på internettet nogensinde.

Men er der nogen som har hørt om et tilfælde hvor sårbarheden er blevet udnyttet?


Er pointen ved fejlen ikke, at den ikke bliver logget som en fejl men som en almindelig forespørgsel?
Gravatar #23 - arne_v
11. apr. 2014 12:18
#20 & 22

Ja. Fejlen har eksisteret i længere tid. Og angreb kan ikke ses i en almindelig log.

Men hvis den var blevet udnyttet ville man vel have nogle uforklarlige indbrud i bank konti og FB kontoer og hvad ved jeg, som man nu pludseligt kunne forklare.

Gravatar #24 - Hængerøven
11. apr. 2014 12:33
arne_v (23) skrev:
Men hvis den var blevet udnyttet ville man vel have nogle uforklarlige indbrud i bank konti og FB kontoer og hvad ved jeg, som man nu pludseligt kunne forklare.


Nej, det ville man vel ikke!

Hvis du har haft et sikkerheds brud der er uforklarligt, kan du ikke bare lige afskrive det fordi du høre om et sikkerheds hul der ikke efterlade spor.
Du har jo ikke pludseligt bevist et sammenhæng, og det vil derfor bare være et blindt skud i tågen.




Gravatar #25 - arne_v
11. apr. 2014 14:19
#24

????

Det er ca. 1/5 af alle web servere som har brugt de ramte OpenSSL versioner.

Hvis du har N uforklarlige sikkerhedsbrud og n af dem er sket hos sårbare web servere og der ikke er andre oplagte fælles karakteristika, så er det simpelt at udregne hvor sandsynligt det er at det er et tilfælde.

Det er videnskab ikke skud i tågen.
Gravatar #26 - praktikant muffe AKA pewbe
11. apr. 2014 14:23
#25
Under antagelse af at der ikke er andre ukendte huller.
Gravatar #27 - gramps
11. apr. 2014 16:07
#25
Correlation does not imply causation.
Gravatar #28 - kasperd
11. apr. 2014 16:11
gramps (22) skrev:
Er pointen ved fejlen ikke, at den ikke bliver logget som en fejl men som en almindelig forespørgsel?
Jeg spekulerer på om der nu hvor fejlen er blevet kendt er nogen som er begyndt på at logge forsøg på at udnytte den.
Gravatar #29 - arne_v
17. apr. 2014 19:02
praktikant muffe AKA pewbe (26) skrev:
Under antagelse af at der ikke er andre ukendte huller.


Nej.

Kun under antagelse af at der ikke er andre ukendte huller i præcis de samme versioner af samme software.

Gravatar #30 - arne_v
17. apr. 2014 19:03
gramps (27) skrev:
Correlation does not imply causation.


Det er almindeligt kendt, men i dette tilfælde er den potentielle kausalitet jo allerede påvist.
Gravatar #31 - arne_v
17. apr. 2014 19:05
kasperd (28) skrev:
Jeg spekulerer på om der nu hvor fejlen er blevet kendt er nogen som er begyndt på at logge forsøg på at udnytte den.


De har ihvertfald snuppet en.

http://money.cnn.com/2014/04/16/technology/securit...
Gravatar #32 - praktikant muffe AKA pewbe
17. apr. 2014 19:30
#29
Der kan sagtens være mere end en fejl i stykke software.
Gravatar #33 - arne_v
17. apr. 2014 19:37
#32

Der er nok mere end en fejl i de fleste stykker software.

Også i OpenSSL.

Men er der en fejl mere som er introduceret i 1.0.0i -> 1.0.1 og fjernet i 1.0.1f -> 1.0.1g.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login