OpenSSL er ramt af et nyt kritisk sikkerhedshul

Open source-softwaren til kryptering af forbindelser over internettet, OpenSSL, fik en uønsket plads i rampelyset, da det for nylig blev afsløret, at det indeholdt et sikkerhedshul, som potentielt kunne udnyttes til at afsløre kodeord, kreditkortnumre og andre fortrolige oplysninger fra webservere.

Den såkaldte Heartbleed-sårbarhed i OpenSSL satte fokus på en komponent, som ellers blot har arbejdet for store websteder i årevis. Nu er yderligere en række sikkerhedshuller i OpenSSL fundet og lukket.

Læs også: Alvorligt sikkerhedshul i openSSL opdaget efter to år

En af dem er særlig kritisk, fordi den har eksisteret i OpenSSL siden 1998 og dermed findes i alle versioner, bortset fra den nyeste 1.01 og de patchede versioner.

Ifølge sikkerhedsfirmaet Sophos er den dog ikke helt så kritisk som Heartbleed. Heartbleed-sårbarheden kunne udnyttes, hvis blot serveren havde en sårbar version af OpenSSL. Den nye, kritiske sårbarhed kan kun udnyttes, hvis både server og klient er sårbare.

Det vil dog kunne udnyttes ved eksempelvis at opsætte et falsk wifi-opkoblingspunkt, som brugerne lokkes til at forbinde til. Det giver mulighed for at lave et man-in-the-middle-angreb, selvom brugeren tror, han benytter en sikker forbindelse, skriver blandt andet sikkerhedsfirmaet CSIS.

OpenSSL er i øvrigt ikke den eneste krypteringssoftware, som har måttet lukke kritiske sårbarheder. Også GnuTLS har ifølge Sophos været ramt af et kritisk sikkerhedshul.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>