N: Heartbleed bug – zranitelnost OpenSSL ve verzích 1.0.1 až 1.0.1.f

13. 4. 2014 18:28:58

V OpenSSL 1.0.1.a-f se vyskytla bezpečnostní chyba, která se označuje jako Heartbleed bug. Co to vlastně dělá?

Heartbleed je expolit TLS/DTLS. Heartbleed umí změnit délku šifrovaného řetězce. Ověřování řetězce se ovšem provádí jen na délku podporovanou uživatelem. V každém požadavku tak může uniknout 65532 bytů operační paměti serveru. Spojení lze udržovat pomocí smyčky po celou dobu spojení. Každý leak má na konci 16 bytů náhodného textu. Heartbleed může být použit i k odmítnutí služby. Heartbleed zahltí komunikaci předem připraveným textem. Klient poté odmítne spojení, protože vyprší časový limit.

Heartbleed k úniku dat využívá fakt, že server vrátí řetězec o stejné délce jako měl požadavek. Při podstrčené délce požadavku tak server vrátí "něco navíc" ze své cache. Ono něco navíc může být jakýkoliv požadavek, který server zrovna zpracovává.

Pomocí Heartbleed bugu může útočník získat privátní klíč serveru. Drahý SSL certifikát vám bude k ničemu, jelikož útočník dokáže provést man in the middle útok a odposlouchávat veškerou komunikaci. Tuto chybu měla využívat i NSA, která o ní věděla již delší dobu.

Jak se bránit?

Základem je aktulizace OpenSSL na openssl-1.0.1g. Dále je nutné pořídit nový SSL cerifikát.

Uživatelé by měli být informování, aby si změnili hesla. Prohlíže ovšem uchovávají certifikáty delší dobu a neptají se na ně při každém připojení. Starý certifikát tak může stále útočník úspěšně využívat.

Otestování vašeho serveru:

http://possible.lv/tools/hb/?domain=webtrh.cz

Externí zdroje:

Podrobně popsaný problém na Root.cz

O čem je Heartbleed

NSA využívala Heartbleed

Heartbleed.com

Diskuze na Webtrhu:

https://webtrh.cz/262487-heartbleed-bug-mam-byt-paranoidni

https://webtrh.cz/262121-heartbleed-bug

---------- Příspěvek doplněn 13.04.2014 v 18:34 ----------

PS: pokud jsem něco špatně pochopil, tak budu rád za opravy ;)

13. 4. 2014 18:28:58

https://webtrh.cz/diskuse/n-heartbleed-bug-zranitelnost-openssl-ve-verzich-1-0-1-az-1-0-1-f/#reply1014890

Petr Soukup

(5 hodnocení)

13. 4. 2014 19:44:27

Není nutné aktualizovat přímo na 1.0.1g. Většina distribucí jen opatchovala stávající verze. Na Amazon Linuxu například máme 1.0.1e a zranitelná není.

13. 4. 2014 19:44:27

https://webtrh.cz/diskuse/n-heartbleed-bug-zranitelnost-openssl-ve-verzich-1-0-1-az-1-0-1-f/#reply1014889

Jirka

(6 hodnocení)

13. 4. 2014 20:15:09

Vsak si to zkontrolujte poradne :D http://privatekeycheck.com/

13. 4. 2014 20:15:09

https://webtrh.cz/diskuse/n-heartbleed-bug-zranitelnost-openssl-ve-verzich-1-0-1-az-1-0-1-f/#reply1014888

Luděk Kvapil

14. 4. 2014 14:48:59

http://www.techentice.com/nsa-denies-report-using-heartbleed-openssl-exploit-spying/ - NSA popírá, že by využívala Heartbleed bug

14. 4. 2014 14:48:59

https://webtrh.cz/diskuse/n-heartbleed-bug-zranitelnost-openssl-ve-verzich-1-0-1-az-1-0-1-f/#reply1014887

McFly

(4 hodnocení)

14. 4. 2014 15:08:08

Napsal siva01;1078514
http://www.techentice.com/nsa-denies-report-using-heartbleed-openssl-exploit-spying/ - NSA popírá, že by využívala Heartbleed bug

Kdo dneska věří NSA? ;-)

14. 4. 2014 15:08:08

https://webtrh.cz/diskuse/n-heartbleed-bug-zranitelnost-openssl-ve-verzich-1-0-1-az-1-0-1-f/#reply1014886

Luděk Kvapil

17. 4. 2014 15:17:54

Další článek na zadané téma: http://cdr.cz/clanek/cdr-security-update-heartbleed-bug-nestastna-nahoda-nebo-nastroj-nsa

V sobotu 19.4. bude reportáž na v pořadu ČT @online

17. 4. 2014 15:17:54

https://webtrh.cz/diskuse/n-heartbleed-bug-zranitelnost-openssl-ve-verzich-1-0-1-az-1-0-1-f/#reply1014885

Pro odpověď se přihlašte.

Přihlásit