Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 21/11/2002
Skønt en ny sårbarhed er kendt, er systemadministratorerne længe om at lukke for den. Det viser erfaringen fra de huller i OpenSSL-programmet, som blandt andet Slapper-ormen udnytter. OpenSSL er et udbredt program til at kryptere web-kommunikation med. Sårbarheden blev offentliggjort den 30. juli.Eric Rescorla fra sikkerhedsfirmaet RTFM besluttede sig for at følge arbejdet med at lukke sikkerhedshullet, så snart sårbarheden blev kendt. Til den ende fandt han frem til 890 sårbare servere på internettet.
Sårbarheden er forholdsvis nem at fjerne: Man kan blot slå understøttelsen af SSL version 2 fra. Alternativt kan man installere en rettelse. Rettelsesprogrammer var hurtigt klar fra de fleste leverandører.
En uge efter at sårbarheden var kendt, var 23 procent af de undersøgte servere ikke længere sårbare. En uge senere var tallet stadig under 33 procent. Og 70 dage efter offentliggørelsen var over 30 procent af serverne fortsat sårbare.
Undersøgelsen viste også, at de administratorer, der i forvejen var flittigst til at opdatere deres systemer, også var hurtigst til at installere rettelserne. Det fremgik af, hvilke versioner af OpenSSL serverne kørte, før problemet blev kendt. De, der kørte den nyeste version, var også hurtige til at lukket hullet.