Af Torben B. Sørensen, 03/11/17
Krypteringssoftwaren OpenSSL har lukket to mindre alvorlige sikkerhedshuller.
Udviklerne af OpenSSL har fjernet to sårbarheder. Den ene har fået risikovurderingen medium, den anden regnes for lav.
Den alvorligste af sårbarhederne kan i teorien bruges til at knække krypteringsnøgler. I praksis vil det dog være meget vanskeligt, oplyser OpenSSL: Et angreb vil kræve så store computerressourcer, at kun få angribere vil have adgang til dem.
Udviklerne opdagede sårbarhederne ved hjælp af Googles tjeneste OSS-Fuzz. Det er en såkaldt fuzzer, der afprøver sikkerheden ved at sende en stor mængde forskellige inputdata til applikationen.
Fejlene er rettet i OpenSSL 1.1.0g and 1.0.2m.
Anbefaling
Opdater til en rettet version.
Links
- OpenSSL Security Advisory [02 Nov 2017]
- OpenSSL Patches Flaws Found With Google Fuzzer, artikel fra SecurityWeek