The Heartbleed Bug

Marcus Olsson, 8 apr 2014

'The Heartbleed bug'

En stor brist i OpenSSL, som en stor del av alla servarna på internet använder sig av för att kryptera trafik, har upptäckts.

CVE-2014-0160 eller "the heartbleed bug" som buggen även kallas för, möjliggör att en hackare (eller rättare benämnt; crackare) kan läsa av minnet på målservern och på så sätt inte bara ha möjligheten att läsa av t.ex. e-postadresser och lösenord, utan även komma åt själva krypteringsnyckeln.

Att göra sig av med säkerhetshålet är tyvärr en ganska utdragen process, för att läsa den detaljerade versionen, gå till heartbleed.com – men på t.ex. askubuntu.com har flera användare lämnat väldigt hjälpsamma steg-för-steg guider.

Drabbade versioner av OpenSSL är alla versioner mellan 1.0.1 och 1.0.1f. För att se vilken version man kör kan man använda OpenSSL-prompten:

1$ openssl
2OpenSSL> version
3OpenSSL 1.0.1 14 Mar 20121$ openssl
2OpenSSL> version
3OpenSSL 1.0.1 14 Mar 2012

Notera att t.ex. Ubuntu fortfarande visar 1.0.1 även efter uppdateringen, detta eftersom att de endast patchar ursprungsversionen.

Ett smidigt testverktyg för att se om din server är drabbad: filippo.io/Heartbleed.

Läs mer om buggen på heartbleed.com