Eksperter har opdaget et alvorligt sikkerhedshul i krypteringsprotokollen OpenSSL, der har eksisteret siden 2012. OpenSSL er en open source-implementering af SSL- og TLS-protokollen, og det nyopdagede hul går under navnet Heartbleed og påvirker versionerne fra 1.0.1 til 1.0.1f. Den nyopdagede sårbarhed har karakter af et manglende sikkerhedscheck i forbindelse med udvidelsen Heartbeat (deraf navnet Heartbleed).
Sårbarheden giver mulighed for at overvåge krypteret kommunikation mellem en bruger og en web-tjeneste, og ifølge sikkerhedseksperter fra Codenomicon, der opdagede Heartbleed-hullet, kan det skabe seriøs ravage på internettet.
OpenSSL bruges nemlig ifølge PCWorld til at beskytte mange mailservere, ligesom den også understøtter webserverne Apache og Nginx.
»Heartbleed giver hackere mulighed for at lytte med på krypteret kommunikation, stjæle data direkte fra både web-tjenester og brugere og imitere både tjenester og brugere,« skriver sikkerhedsfolkene. Et eksempel kan være, at man kan opsnappe kreditkortinformationer, der bliver transmitteret fra bruger til web-butik via HTTPS
Version2-bloggeren Henrik Kramshøj har skrevet et indlæg om Heartbleed, og han råder i første omgang til, at man får opdateret til seneste version af openSSL med det samme! Når du har gjort det, kan du læse hans indlæg. Det kan blive en større omgang, hvor alle nøgler også skal skiftes, advarer han.
Leave a Reply