Säkerhetshålet i OpenSSL

Ett allvarligt säkerhetshål i OpenSSL, den sk ”Heartbleed” buggen, har skapat stora rubriker i medierna de senaste dagarna.

Om du ansvarar för en Linux eller Unix server på nätet ska du absolut ta hotet på allvar! Windows använder Secure Channel som inte berörs av denna bugg.

Men kör du tex Apache (WAMP) eller annan 3-part programvara på Windows kan du också hamna i riskgruppen.

OpenSSL är idag ett av de mest använda programmen för att hantera de certifikat som webbservers, e-post servers, VPN mfl använder för att upprätta säkra förbindelser.

Heartbleed buggen (CVE-2014-0160) gör det möjligt för utomstående att osynligt ta sig in i den säkra förbindelsen och komma åt känslig data.

Det är dock endast vissa versioner av OpenSSL som har buggen, och det är mycket enkelt att täppa till säkerhetshålet.

Öppna ett terminalfönster och skriv ”openssl” för att starta OpenSSL, samt ”version” vid openssl prompten.

Om du har versionerna 0.9.8, 1.0.0 eller 1.0.1g eller senare berörs du inte av buggen.

Om du däremot har versionerna mellan 1.0.1 och 1.0.1f måste du omedelbart uppgradera till 1.0.1g eller senare version.

Rekommendationen är att du bör uppgradera också de äldre versionerna till 1.0.1g eller senare för att täppa till andra mindre säkerhetshål.

Det finns en speciell testsida uppe där du kan testa din server om du är osäker: http://filippo.io/Heartbleed/

Mer info hittar du på webbplatsen http://heartbleed.com/ som har detaljerad information (bör absolut läsas av alla server- och säkerhetsansvariga).

Hur påverkar det dig som användare? I praktiken är du i riskgruppen i alla sammanhang där du använder en krypterad förbindelse, tex när hänglåset är aktivt i din webbläsare.

Alla de större webbplatserna uppdaterar för tillfället och de flesta webbankerna berörs inte över huvud taget. I de flesta fallen finns redan information om webbplatsernas status på plats, gör en sökning på de webbplatser du använder eller kontakta dem direkt och fråga.

Byt dina lösenord ofta! Det finns och kommer alltid att finnas säkerhetshål ute på nätet.

Annonser
Publicerat i E-post, Operativsystem, Säkerhet
Erik Schütten

Hej! Jag heter och är bosatt på Åland, bekvämt mittemellan Sverige och Finland.

Jag har jobbat med IT i drygt 30 år och är bla delägare i ett internationellt mjukvaruföretag där jag ansvarar för den tekniska driften och -utvecklingen (Vice President of Technology).

Behöver du kvalificerad hjälp med din IT verksamhet? Fråga Erik! Du når mig via erik@scab.ax. Mer info om mina tjäntser hittar du på www.scab.ax.

Linkedin Twitter Facebook Google+ RSS

Ange din e-postadress för att följa denna blogg och få meddelanden om nya inlägg via e-post.

QR-code
About Erik Schütten
Senior IT expert with 30 years of experience in designing, implementing and managing IT systems and staff. Follow Erik Schütten on Google+, Twitter and Facebook