Upozorňujeme na veľmi závažnú chybu v OpenSSL, ktorá bola zverejnená vrátane funkčných exploitov. Chyba dostala označenie CVE-2014-0160, ale v IT kruhoch sa skôr označuje The Heartbleed Bug. Opravná aktualizácia (OpenSSL 1.0.1g) knižnice OpenSSL už bola vydaná. Dôrazne odporúčame všetkým administrátorom vykonať aktualizáciu systémov.

O čo sa jedná

Zraniteľnosť umožňuje vzdialené čítanie obsahu pamäte serveru (teda kľúče k certifikátom, heslá, cookies, čokoľvek). V logu sa pritom nedá dohľadať, či už prebehol útok na server.

Zraniteľné systémy

Zraniteľné sú OpenSSL verzie 1.0.1 až 1.0.1f (teda všetky verzie za posledné dva roky).
Podľa poslednej štúdie http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html používa OpenSSL celosvetovo cca 66 % serverov.

Čo nie je zraniteľné

Open SSL před 1.0.1
OpenSSL 1.0.1g
Servery nepoužívajúce šifrovanie alebo používajíce iný SW.

Exploity sú dostupné a fungujú. Chyba je masívne zneužívaná po celom svete.

Viac informácií nájdete na http://heartbleed.com/.

Odporúčanie AEC

Odporúčame okamžitú aktualizáciu na OpenSSL v1.0.1g alebo workaround v podobe úpravy FW tak, aby detekoval pokus o jej zneužitie. Je dôležité si uvedomiť, že chyba sa nemusí týkať iba webových serverov, ale všetkej šifrovanej komunikácie pomocou OpenSSL.

Viac podrobností je k dispozícii na vyžiadanie.