En bugg i Openssl lämnar öppet för intrång i en stor mängd webbtjänster som körs på framför allt Linux- och Unixservrar. Openssl är en öppen implementation av krypteringsprotokollen ssl och tls.
Buggen som kallas CVE-2014-0160 finns i versionerna 1.0.1 till 1.0.1f av Openssl. Säkerhetshålet uppstår när protokollet tls eller varianten dtls används. Mycket enkelt uttryckt använder webbtjänster med adresser som börjar med https den här säkerhetslösningen. I praktiken kan vilken typ av tjänst som helst drabbas, det kan till exempel röra sig om lösningar för lastbalansering.
Buggen yttrar sig i att en drabbad webbtjänst ”läcker minnesinnehåll”. En inkräktare kan komma åt godtyckligt minnesinnehåll i block om 64 kB åt gången. För att inkräktaren ska kunna använda minnesinnehållet måste det alltså tolkas först.
Hur allvarlig är buggen?
– Det är väldigt många tjänster som använder den här tekniken, säger Johan Ekman, säkerhetsexpert på Truesec.
Han påtalar dock att många är i färd med att uppgradera till version 1.0.1g av Openssl som släpptes i går, måndag, och innehåller en fix för buggen.
– Det går även att uppdatera med fixen för lösningar som utnyttjar äldre versioner av Openssl. Många Linuxdistributioner uppdateras just nu, säger Johan Ekman.
