keskiviikko 9. huhtikuuta 2014

CERT-FI varoitus 01/2014 - Haavoittuvuus OpenSSL-kirjastossa vaatii välittömiä toimia verkkopalvelujen ylläpitäjiltä

[Kyberturvallisuuskeskus] OpenSSL-kirjaston haavoittuvuuden hyväksikäyttöön tähtäävä skannaus on käynnistynyt julkaistujen haavoittuvuustiedotteiden julkaisun jälkeen eilen 8.4. Haavoittuvien OpenSSL-kirjastoa käyttävien palvelinten päivitys suositellaan toteutettavan välittömästi.

Haavoittuvien palvelinten palvelinvarmenteet on vaihdettava palvelinpäivityksen jälkeen. Palvelinten käyttäjien salasanojen vaihto on suositeltavaa.

OpenSSL-kirjaston haavoittuvuus tekee mahdolliseksi haavoittuvien palvelimien muistin sisällön kopionnin. Haavoittuvuuden avulla on pystytty kopioimaan www-palvelimelta käyttäjien käyttäjätunnus- ja salasanapareja, evästeitä, istuntokohtaisia avaimia ja palvelun käyttämiä salaisia avaimia.

Jos palvelimen salaiset avaimet ovat joutuneet vääriin käsiin ja palvelussa ei ole käytetty Perfect Forward Secrecy (PFS) -salaustoiminnallisuutta, palvelimen aikaisemman verkkoliikenteen purkaminen on mahdollista.

Haavoittuvalla OpenSSL-kirjastolla varustetut palvelimet on syytä päivittää välittömästi. Merkkejä haavoittuvuuden hyväksikäyttöä valmistelevasta verkkoskannaustoiminnasta on havaittu 8.4. aamulla.

Vain osa SSL-salausta käyttävistä verkkopalveluista on haavoittuvia. Viestintäviraston Kyberturvallisuuskeskus selvittää haavoittuvien palveluiden määrää Suomessa.

Verkkopalvelujen käyttäjiltä ei edellytetä tässä vaiheessa toimenpiteitä ilman palveluiden ylläpitäjien kehoitusta.

VAROITUKSEN KOHDERYHMÄ:
  • OpenSSL-kirjastoa käyttävien palvelimien ylläpitäjät
  • RATKAISU- JA RAJOITUSMAHDOLLISUUDET:
  • Päivitä haavoittuvat palvelimien OpenSSL-kirjasto Viestintäviraston haavoittuvuustiedotteen ja palvelinohjelmistojen valmistajien ohjeiden mukaisesti
  • OpenSSL-kirjaston päivityksen jälkeen: vaihda palvelimen käyttämät palvelinsalausavaimet, esimerkiksi SSL-sertifikaatit. Käyttäjien salasanojen vaihtoa on syytä harkita
  • LISÄTIETOA:
  • Kyberturvallisuuskeskuksen haavoittuvuustiedote 49/2014
  • OpenSSL Security Advisory 20140407
  • https://www.kb.cert.org/vuls/id/720951
  • http://heartbleed.com/
  • (huom. Tämä on suora kopio CERT-FI:n eilisestä varoituksesta josta muutettu merkintä “tänään 8.4” merkinnäksi “eilen 8.4”)

    LÄHDE: Kyberturvallisuuskeskus