Heartbleed ali openSSL ranljivost

Zadnje čase je možno tako na socialnih kanalih kot tudi pri vseh medijih zaslediti poročanje o openSSL ranljivosti.

Zakaj prav za prav gre?
Gre za ranljivost strežniških gesel, sejnih piškotkov ter zasebnih ključev strežnika.

Ranljive openSSL verzije so: OpenSSL 1.0.1 do vključno 1.0.1f
Verzije, ki niso ranljive so: OpenSSL 1.0.1g, OpenSSL 1.0.0. (vse), OpenSSL 0.9.8 (vse)

Ali imate ranljiv strežnik lahko preverite na povezavi: http://sslanalyzer.comodoca.com v razdelku “Protocol Features / Problems”, vrstica “Heartbeat”.

Svetujemo, da administratorji spletnih strežnikov:

• namestijo posodobljeno različico openSSL
• zamenjajo šifrirane ključe na srežniku
• zamenjajo gesla
• zamenjajo sejne piškotke

Pri openSSL so takoj naredili zasilni poravek za namestitev, ki onemogoči napade in ga najdete na: http://www.openssl.org/source/

Operacijski sistemi s potencialno ogorženostjo openSSL verzije:

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) in 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

Več podatkov o Heartbleedu si lahko prebrete na: http://heartbleed.com