OpenSSL lukker seks huller

Artiklen blev oprindeligt publiceret den 10/6/2014

Udviklerne af OpenSSL har lukket seks sikkerhedshuller, hvoraf to er alvorlige. De udgør dog en mindre risiko end Heartbleed-hullet.

Den ene af de alvorlige sårbarheder findes i behandlingen af beskeder af typen "change cipher spec". Angribere kan udnytte sårbarheden til et man-in-the-middle-angreb, hvor kommunikationen mellem en klient og en server aflyttes.

Det kræver dog, at både klient og server anvender sårbare udgaver af OpenSSL. Alle klient-versioner af OpenSSL er sårbare, mens kun servere med version 1.0.1 eller senere er sårbare.

Den anden alvorlige sårbarhed ligger i håndteringen af DTLS (Datagram Transport Layer Security). Den kan muligvis udnyttes til at afvikle skadelige programmer. Men DTLS er ikke særlig udbredt, så det er et begrænset antal sårbare systemer.

Disse og fire andre sårbarheder er fjernet i OpenSSL 0.9.8za, 1.0.0m og 1.0.1h.

Anbefaling
Opdater OpenSSL til nyeste version. Tjek, at andre applikationer der anvender OpenSSL, også bliver opdateret.

Links