Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 10/6/2014
Udviklerne af OpenSSL har lukket seks sikkerhedshuller, hvoraf to er alvorlige. De udgør dog en mindre risiko end Heartbleed-hullet.Den ene af de alvorlige sårbarheder findes i behandlingen af beskeder af typen "change cipher spec". Angribere kan udnytte sårbarheden til et man-in-the-middle-angreb, hvor kommunikationen mellem en klient og en server aflyttes.
Det kræver dog, at både klient og server anvender sårbare udgaver af OpenSSL. Alle klient-versioner af OpenSSL er sårbare, mens kun servere med version 1.0.1 eller senere er sårbare.
Den anden alvorlige sårbarhed ligger i håndteringen af DTLS (Datagram Transport Layer Security). Den kan muligvis udnyttes til at afvikle skadelige programmer. Men DTLS er ikke særlig udbredt, så det er et begrænset antal sårbare systemer.
Disse og fire andre sårbarheder er fjernet i OpenSSL 0.9.8za, 1.0.0m og 1.0.1h.
Anbefaling
Opdater OpenSSL til nyeste version. Tjek, at andre applikationer der anvender OpenSSL, også bliver opdateret.
Links
- OpenSSL Security Advisory [05 Jun 2014]
- Early ChangeCipherSpec Attack, blogindlæg af Adam Langley
- How I discovered CCS Injection Vulnerability (CVE-2014-0224), blogindlæg af Masashi Kikuchi
- Latest OpenSSL flaws can lead to information leakage, code execution and DoS, blogindlæg fra Sophos
- OpenSSL Patches Critical Vulnerabilities Two Months After Heartbleed, blogindlæg fra Symantec