Kritická zranitelnost OpenSSL (CVE-2014-0160)
13. 1. 2015
Kritická zranitelnost OpenSSL (CVE-2014-0160)

Upozorňujeme na velmi závažnou chybu v OpenSSL, která byla zveřejněna včetně funkčních exploitů. Chyba dostala označení CVE-2014-0160, avšak v IT kruzích se o ní hovoří spíše jako o The Heartbleed Bugu. Nápravná aktualizace (OpenSSL 1.0.1g) knihovny OpenSSL již byla vydána. Důrazně doporučujeme všem administrátorům provést aktualizaci systémů.

 

O co se jedná

Zranitelnost umožňuje vzdálené čtení obsahu paměti serveru (tedy klíče k certifikátům, hesla, cookies, cokoli). Zda-li již proběhl útok na server není dohledatelné v logu.

 

Zranitelné systémy

Zranitelné jsou OpenSSL verze 1.0.1 až 1.0.1f (tedy všechny verze za poslední dva roky).
Podle poslední studie http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html používá OpenSSL celosvětově cca 66% serverů.

 

Co není zranitelné

Open SSL před 1.0.1
OpenSSL 1.0.1g
Servery nepoužívající šifrování nebo používající jiný SW.

 

Exploity jsou dostupné a fungují. Chyba je masivně zneužívána po celém světě.

Více informací naleznete na http://heartbleed.com/.

 

Doporučení AEC

Doporučujeme okamžitou aktualizaci na OpenSSL v1.0.1g nebo workaround v podobě úpravy FW tak, aby detekoval pokus o její zneužití. Je důležité si uvědomit, že chyba se nemusí týkat pouze webových serverů ale veškeré šifrované komunikace pomocí OpenSSL.

 

Více podrobností je k dispozici na vyžádání.