Raziskovalci so odkrili izjemno kritično ranljivost v kriptografski programski knjižnici, ki naj bi jo za identifikacijo in preprečevanje prestrezanja gesel, bančnih podatkov in drugih občutljivih informacij uporabljali približno dve tretjini spletnih strežnikov.
Varnostno podjetje CloudFlare, ki je skupaj s kolegi na Googlu tudi odkrilo napako, vsem prizadetim spletnim stranem priporoča takojšnjo nadgradnjo na sveži OpenSSL, ter, če je mogoče, tudi menjavo šifrirnih ključev. Niso še prepričani, ali je napako kdo tudi aktivno izkoriščal, nameravajo pa zdaj to preveriti s pomočjo posebnih honeypot strežnikov. Ocene o tem se pričakujejo v kratkem. Če jo je, mu naj ne bi bilo težko priti tudi do zasebnega ključa, in to kar lepo na daljavo, brez potrebe po prestrezanju ene ali več obstoječih sej in brez puščanja kakršnih koli sledi na strežniku, npr. dnevniških zapisov.
Ranljive verzije
- OpenSSL verzije 1.0.1 do vključno 1.0.1f.
Verzije, ki niso ranljive:
- OpenSSL 1.0.1g,
- OpenSSL 1.0.0 (celotna veja),
- OpenSSL 0.9.8 (celotna veja).
Ranljivi so tako strežniki, kot tudi odjemalci, ki temeljijo na ranljivi verziji programske knjižnice OpenSSL.
Vsem, ki ki uporabljajo OpenSSL, svetujemo takojšnjo namestitev posodobljene verzije, preko posodobitev operacijskega sistema, ali neposredno z namestitvijo neranljive verzije knjižnice OpenSSL. Ker obstaja možnost, da so bili zlorabljeni šifrirni ključi in avtentikacijski podatki uporabnikov, je po odpravi ranljivosti potrebno zamenjavati šifrirne ključe na strežniku in ponastaviti avtentikacijske podatke (gesla, sejni piškotki itd.).
Za dodatne informacije nas lahko kontaktirate preko spletnega obrazca.
