Heartbleed

Heartbleed (officiell beteckning CVE-2014-0160^[1]) var en programbugg i krypteringsbiblioteket OpenSSL som påverkade stora delar av servrar på internet. Även ett antal klienter såsom Android^[2] påverkades. Buggen kunde potentiellt göra det lättare för illvilliga hackare att komma över servrars privata krypteringsnycklar och i förlängningen även vanliga användares lösenord, kreditkortsnummer och andra känsliga uppgifter. Buggen i OpenSSL rättades 7 april 2014, samma dag som den offentliggjordes^[3], men systemägare, webbhotell och andra IT-funktioner behöver installera den rättade programvaran för att avvärja hotet.

Logotyp som representerar buggen. Säkerhetsföretaget Codenomicon gav buggen dess namn och en logotyp för att öka allmänhetens medvetande om buggens existens.

Bakgrund redigera

OpenSSL är ett open source-programbibliotek som används för att kryptera information på internet. 31 december 2011 infördes den OpenSSL-funktion som kallas TLS Heartbeat Extension, vars syfte är att testa och upprätthålla en säker anslutning mellan en klient och en server. Funktionen införlivades och släpptes därefter för en vidare publik i OpenSSL version 1.0.1 14 mars 2012.^[4] Buggen uppkom på grund av avsaknad gränsöverskridningskontroll (engelska: bounds checking) vid hanteringen av minnesallokeringen för heartbeat-funktionaliteten och möjliggjorde fjärrolovlig läsning av en buggdrabbad webbservers minne, cirka 65000 bytes i taget. Genom att utnyttja buggen kunde en angripare (via Internet) tillskansa sig skenbart krypteringsskyddad information från den buggdrabbade webbservern, till exempel lösenord och kryptonycklar.

Sveriges nationella CSIRT (Computer Security Incident Response Team), CERT-SE, meddelade den 8 april 2014 om Heartbleed-buggen på sin webbsida, under rubriken "OpenSSL läcker information"^[5]. Den amerikanska kryptografen Bruce Schneier har kallat buggen "katastrofal": ""Catastrophic" is the right word. On the scale of 1 to 10, this is an 11."^[6]

Historik redigera

Lades till i OpenSSL i slutet av 2011/början av 2012^[7]
Släpptes 14 mars 2012 i OpenSSL version 1.0.1
Fixades 7 april 2014 i OpenSSL version 1.0.1g^[8]

Källor redigera

^ cve.mitre.org - CVE-2014-0160
^ isc.sans.edu - The Other Side of Heartbleed - Client Vulnerabilities
^ ”Add heartbeat extension bounds check”. git.openssl.org. 7 april 2014. Arkiverad från originalet den 13 april 2014. https://web.archive.org/web/20140413124233/http://git.openssl.org/gitweb/?p=openssl.git%3Ba%3Dcommit%3Bh%3D96db9023b881d7cd9f379b0c154650d6c108e9a3. Läst 14 april 2014.
^ ”What versions of the OpenSSL are affected?”. Codenomicon. http://heartbleed.com/. Läst 14 april 2014.
^ ”www.cert.se - Ny sårbarhet i OpenSSL 1.0.1”. Arkiverad från originalet den 4 november 2014. https://web.archive.org/web/20141104100326/https://www.cert.se/2014/04/ny-sarbarhet-i-openssl-1-0-1. Läst 10 april 2014.
^ www.schneier.com - heartbleed (2014-04-09)
^ github.com - OpenSSL commit
^ heartbleed.com

Externa länkar redigera

Heartbleed, informationssida upplagd av internetsäkerhetsföretaget Codenomicon
Heartbleed explanation - How the Heartbleed bug works, serie-stripp från xkcd.com

[1] ve.mitre.org - CVE-2014-0160

[2] sc.sans.edu - The Other Side of Heartbleed - Client Vulnerabilities

[3] ”Add heartbeat extension bounds check”. git.openssl.org. 7 april 2014. Arkiverad från originalet den 13 april 2014. https://web.archive.org/web/20140413124233/http://git.openssl.org/gitweb/?p=openssl.git%3Ba%3Dcommit%3Bh%3D96db9023b881d7cd9f379b0c154650d6c108e9a3. Läst 14 april 2014.

[4] ”What versions of the OpenSSL are affected?”. Codenomicon. http://heartbleed.com/. Läst 14 april 2014.

[5] ”www.cert.se - Ny sårbarhet i OpenSSL 1.0.1”. Arkiverad från originalet den 4 november 2014. https://web.archive.org/web/20141104100326/https://www.cert.se/2014/04/ny-sarbarhet-i-openssl-1-0-1. Läst 10 april 2014.

[6] www.schneier.com - heartbleed (2014-04-09)

[7] thub.com - OpenSSL commit

[8] rtbleed.com

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]