Så kom der endnu en SSL fejl, denne gang i OpenSSL. Se straks http://heartbleed.com/ og specielt
What versions of the OpenSSL are affected?
Status of different versions:
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.
Har du en af de sårbare versioner, så gå igang med at opdatere nu – stop med at læse, smut!
Det er en alvorlig sårbarhed som gør at man kan læse hukommelsen, og derved bliver mange andre ting i hukommelsen potentielt opsnappet. Det betyder at du udover at opdatere skal skifte nøgler og det bliver en ordentligt omgang!
Fakta og tips
SSH er ikke sårbar, iflg. Theo de Raadt, se https://twitter.com/openbsdjournal/status/453425522425733120 “Noting also that OpenSSH is not affected”
Der er også binære patches til OpenBSD, hvis man bruger det https://twitter.com/mtierltd/status/453437410035388416
Dit favoritoperativsystem bør have opdateringer, ellers er de ved at blive kompileret.
Pas på under opgradering
Jakob Schlyter som er specialist på blandt andet DNSSEC og DANE gør opmærksom på at man lige skal passe på:
“Don’t forget to update your TLSA records (at wait for TTL to expire) before you rekey #heartbleed”
https://twitter.com/jschlyter/status/453438431184834560
Så vær opmærksom og skift nøgler kontrolleret, noter gerne at du skal implementere mere automatik til næste gang.
Kom ind i kampen!
Hvornår har du sidst efterset dine SSL indstillinger?
Det er en udmærket årsag til lige at se på dine indstillinger for SSL/TLS. Du BØR idag i 2014 bruge PFS Perfect Forward Secrecy – det betyder blandt andet at hvis folk HAR fået fat på dine private nøgler er tidligere kommunikation stadig sikker. Jeg anbefaler at du tester dine web servere jævnligt med https://www.ssllabs.com/ssltest/
Jeg vil måske opdatere lidt i løbet af dagen, men har også selv en udfordring med at lokalisere sårbare maskiner og gå det hele efter 
Hvis du er utålmodig så søg på Twitter eller se hvad jeg har retweetet hidtil.
Proof of Concept
Der er allerede flere testsider og værktøjer ude til at teste for dette – udover at du kan logge ind på serveren og checke OpenSSL versionen.
NB: check selv hvad du stoler på! Jeg har ikke prøvet dem allesammen, ej heller læst dem nøje!
- https://github.com/FiloSottile/Heartbleed tool i Go og site http://filippo.io/Heartbleed/
- https://github.com/titanous/heartbleeder tool i Go
- http://s3.jspenguin.org/ssltest.py PoC
- https://gist.github.com/takeshixx/10107280 test tool med STARTTLS support
- http://possible.lv/tools/hb/ test site
Gætter på at sites som https://www.ssllabs.com/ssltest/ også hurtigt får inkluderet en test af det.
Analyser og andet
- http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html? analyse af problemet i koden
- http://blog.inliniac.net/2014/04/08/detecting-openssl-heartbleed-with-su… IDS regler Detecting OpenSSL Heartbleed with Suricata
- http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/ blog om emnet
Opdateret: 15:59