Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 4/5/2016
Udviklerne af OpenSSL har lukket seks sikkerhedshuller, hvoraf de to er alvorlige.Den alvorligste sårbarhed har været i OpenSSL siden 2013. Den blev indført med en rettelse, der skulle beskytte mod Lucky 13-angrebet på TLS (Transport Layer Security).
Sårbarheden kan udnyttes i et man-in-the-middle-angreb til at dekryptere trafik. Det kræver, at forbindelsen anvender AES (Advanced Encryption Standard) i CBC-mode (Cipher Block Chaining). Endvidere skal serveren understøtte AES-NI-instruktioner.
En sikkerhedsforsker har udviklet et program, der kan tjekke, om en server er sårbar.
Den anden alvorlige sårbarhed er en kombination af to sårbarheder, hvoraf den ene blev rettet i juni 2015. Dermed er OpenSSL kun sårbar i ældre versioner.
Fejlene er rettet i OpenSSL 1.0.2h og 1.0.1t.
Anbefaling
Opdater OpenSSL og applikationer, der anvender det.
Links
- OpenSSL Security Advisory [3rd May 2016]
- Non-Security OpenSSL Bugs Lead to Serious Vulnerability, artikel fra SecurityWeek
- Yay! It's International Patch Your Scary OpenSSL Bugs Day, artikel fra The Register
- OpenSSL Patches Two High-Severity Vulnerabilities, artikel fra Kaspersky Threatpost
- CVE-2016-2107 Proof of Concept