Säkerhetslucka/bug Heartbleed

[Antec]

Ni har säkerligen läst om, eller hört om Heartbleed. De senaste dagarna
har media varit fullt med uppgifter om den säkerhetslucka/bug som fanns i
OpenSSL. Så här kan det se ut och vissa rekommendationer, I början av denna vecka (7-8/4) kom det fram information om att OpenSSL, som hanterar krypterad trafik på de flesta servrarna på internet, hade en säkerhetslucka som innebär att visst data kunde fångas av en attack mot en server som hade en viss version av OpenSSL. Denna säkerhetslucka har funnits i OPenSSL i drygt 2 år!

Kolla igenom servrarna och uppdatera programvaran på de servrar som har den aktuella versionen direkt med den buggen som rapporterats. Byt även ut SSL certifikaten.

Till användare, byta lösenord? Ett väldigt bra tillfälle att byta lösenord är nu, så svaret är Ja,byt lösenord.

Omfattningen av OpenSSL-buggen Heartbleed är lite osäker och eftersom det absolut inte skadar att byta sina lösenord, rekommenderas att alla göra det. Detta gäller alla lösenord som angetts via webbläsare (cpanel, webmail, katalogskydd på hemsida, administrationsinlogg för t ex Joomla, WordPress, OpenCart, Prestashop, etc). Dvs har man inte loggat in på webmail för att kolla sin email, behöver man inte byta lösen på emailen.

Många sajter inkluderande Facebook, Instagram, Gmail, Dropbox, Amazon med flera rekommenderar sina användare att byta lösen även om de inte tror att några lösenord har läckt. Passa på att byta nu och byt till unika, bra lösenord som inte är lätta att gissa. Ett bra lösenord skall innehålla både STORA och små bokstäver samt siffror/andra tecken och inte vara för kort.

[andol]

Ok, några förtydliganden här:

1) Kör man Debian 6 (Squeeze) alt. Ubuntu 10.04 (Lucid) så har man rimligen såpass gammal openssl (0.9.8*) att man inte är drabbad.

2) Det här gäller alltså inte enbart webben, utan även alla andra demoner som använt såbar OpenSSL. Till exempel kan ens lösenord precis lika gärna läckt genom att man kollat mailen via en mailklient (imaps/pops) som genom att man loggat in via webbmail.

3) Heartbleed påverkar inte enbart servrar, utan kan precis lika gärna påverka klientprogramvara, och göra dem sårbara för elaka servrar. Det är sålunda även viktigt att man ser till att ha sin arbetsstations/laptop ordentligt uppgraderade. Lyckligtvis verkar i alla fall vanliga webbläsare inte sårbara, antingen för att de använder ett annat ssl-bibliotek eller för att de kör med egen statisk kompilerad OpenSSL som är kompilerad utan Heartbeat-stödet.

Sen så är https://xkcd.com/1354/ en helt fantastisk förenklad förklaring på hur buggen fungerar.

[JoWa]

Chromium och Firefox använder NSS. Chrome för Android använder dock OpenSSL. (IE och Safari använder egna TLS-implementeringar).

Angående lösenord är tvåstegsverifiering mycket värdefull i detta sammanhang.

[Antec]

Man bör använda Chromium eller Chrome tycker jag, Nä det behöver man inte men det är mer säkert!!