Závažná bezpečnostní chyba v OpenSSL

Heartbleed openssl bug vector shapePostižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.

Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.

Nejprve jsem zažil docela nepříjemnou chvilku, kdy jsem se obával, že je touto zranitelností napadnutelný i secure shell (SSH). Ten, jak známo, nad OpenSSL běží. Titulek první zprávy na Rooz.cz „Závažná chyba v OpenSSL umožňuje získat privátní klíč“ mě opravdu neuklidnila.

Naštěstí tomu tak není. Zasaženy jsou „jen“ služby využívající certifikáty při komunikaci, tedy HTTPS, TLS v poštovních serverech, certifikáty ve VPN, běžící nad OpenSSL ve zranitelné verzi. Teoreticky, všechny tyto certifikáty mohou být kompromitovány, protože je znám způsob jak mohl jejich privátní klíče získat útočník. Navíc zcela nepozorovaně.

Naštěstí pro nás (a mě osobně), mámě většinu serverů zatím na starších verzích OpenSSL. Včerejšek jsem díky tomu měl klidnější. Nevím ale, jestli z toho mám mít radost. Nějak mě to neuklidňuje ….

Jako vstupní body pro informaci vám doporučuji

http://www.abclinuxu.cz/zpravicky/zavazna-bezpecnostni-chyba-v-openssl

http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

Jestli jste se dnes (vlastně již včera) aktualizacím nevěnovali, doporučuji to moc neodkládat.

Prověřit si zranitelnost svého Linuxu můžete pomocí této utilitky. Budete potřebovat python.

Použití je jednoduché:

# ./hb-test.py -p cílový_tcp_port cílový_systém

Přeji příjemnou zábavu. 🙁

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.