OpenSSL Heartbleed

Poniżej zebraliśmy opis problemu i możliwe rozwiązania.

Opis problemu

heartbleed 7 kwietnia 2014 r. fińska grupa badawcza z firmy Codenomicon ogłosiła wykrycie krytycznej luki, nazwanej przez nich Heartbleed (z ang. "krwawienie z serca"). Luka dotyczy oprogramowania OpenSSL, powszechnie używanej biblioteki kryptograficznej m.in. do szyfrowania połączeń SSL. Szacuje się, że z OpenSSL korzysta ok. 2/3 serwerów na całym świecie. Luka pojawiła się w OpenSSL 1.0.1, który został wydany 14 marca w 2012 r. Oznacza to, że luka mogła być wykorzystywana przez napastników przez ostatnie 2 lata.

Napastnik może odczytać pamięć systemową maszyny i przejąć tą drogą wrażliwe dane jak loginy, hasła, wiadomości e-mail, a nawet klucze prywatne certyfikatów SSL. Atak niestety, nie pozostawia żadnych śladów na zaatakowanej maszynie.

Dla jasności – luka dotyczy tylko oprogramowania OpenSSL, nie jest to wada, ani luka w protokole SSL/TLS ani w certyfikatach wystawców: RapiSSL, GeoTrust, Thawte lub Symantec.

Których wersji OpenSSL dotyczy problem?

  • OpenSSL od wersji 1.0.1 do 1.0.1f - podatny na błąd
  • OpenSSL 1.0.1g - nie jest podatny
  • OpenSSL w gałęzi 1.0.0 nie jest podatny na błąd
  • OpenSSL w gałęzi 0.9.8 nie jest podatny na błąd

Które systemy operacyjne mogą zawierać podatną wersję OpenSSL?

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Systemy operacyjne wolne od podatnej na błąd wersji OpenSSL:

  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

Która wersja usuwa lukę?

OpenSSL w wersji 1.0.1g wydany w dniu 07.04.2014 r.

W jaki sposób sprawdzić wersję OpenSSL?

Z konsoli/terminala należy uruchomić poniższe polecenie:

$ openssl version

W jaki sposób sprawdzić swój serwer?

Skorzystaj z darmowego serwisu SSLLabs https://www.ssllabs.com/ssltest/index.html

Jakie należy podjąć dalsze kroki?

  • Należy zaktualizować OpenSSL do najnowszej wersji (OpenSSL 1.0.1g). Najprościej można to wykonać poprzez systemową aktualizację OpenSSL. W systemach linux/unix należy użyć wbudowanego managera pakietów np. w dystrybucjach Debian/Ubuntu

apt-get update && apt-get upgrade

  • Sugerujemy dokonać wymiany używanego certyfikatu SSL na nowy.
  • Po wymianie na nowy sugerujemy unieważnić poprzedni certyfikat SSL. W tym celu prosimy o e-mailową dyspozycję unieważnienia wraz z dołączonym certyfikatem do unieważnienia.
  • Sugerujemy powiadomić swoich użytkowników o potrzebie zmiany hasła na nowe.

Czy wymiana certyfikatu SSL na nowy jest płatna?

Wymiana certyfikatu SSL jest bezpłatna.

Czy serwis Gigaone był podatny na lukę Hearbleed?

Teoretycznie - tak. Zaktualizowaliśmy używaną bibliotekę OpenSSL na wolną od luki. Ze swej strony sugerujemy zmienić hasło na nowe. W szczególności, gdy używa się tych samych haseł w wielu serwisach, co oczywiście nie jest dobrą praktyką.

Zobacz więcej