The Heartbleed Bug
En stor brist i OpenSSL, som en stor del av alla servarna på internet använder sig av för att kryptera trafik, har upptäckts.
CVE-2014-0160 eller "the heartbleed bug" som buggen även kallas för, möjliggör att en hackare (eller rättare benämnt; crackare) kan läsa av minnet på målservern och på så sätt inte bara ha möjligheten att läsa av t.ex. e-postadresser och lösenord, utan även komma åt själva krypteringsnyckeln.
Att göra sig av med säkerhetshålet är tyvärr en ganska utdragen process, för att läsa den detaljerade versionen, gå till heartbleed.com – men på t.ex. askubuntu.com har flera användare lämnat väldigt hjälpsamma steg-för-steg guider.
Drabbade versioner av OpenSSL är alla versioner mellan 1.0.1 och 1.0.1f. För att se vilken version man kör kan man använda OpenSSL-prompten:
1$ openssl2OpenSSL> version3OpenSSL 1.0.1 14 Mar 2012
1$ openssl2OpenSSL> version3OpenSSL 1.0.1 14 Mar 2012
Notera att t.ex. Ubuntu fortfarande visar 1.0.1 även efter uppdateringen, detta eftersom att de endast patchar ursprungsversionen.
Ett smidigt testverktyg för att se om din server är drabbad: filippo.io/Heartbleed.
Läs mer om buggen på heartbleed.com