Sårbarheten er tildelt CVE-2014-0160, også kalt "The Heartbleed Bug". NSM ser på denne sårbarheten som svært alvorlig.

Heartbleed Bug" gjør det mulig å stjele informasjon som er beskyttet, under normale forhold, med SSL/TLS -kryptering som brukes til å sikre Internett. SSL/TLS gir kommunikasjonssikkerhet og personvern på Internett for applikasjoner som web, epost, direktemeldinger (IM) og virtuelle private nett (VPN).

Sårbarheten tillater hvem som helst på Internett å lese minne til systemene beskyttet av de sårbare versjonene av OpenSSL-programvaren. Dette kompromitterer de hemmelige nøklene som brukes til å identifisere tjenesteyterne og kryptere trafikken. Navn og passord til brukerne og det faktiske innholdet . Dette gjør det mulig for angripere å:

  • avlytte kommunikasjon
  • stjele data direkte fra tjenestene og brukere
  • å utgi seg for tjenester og brukere.

Sårbarheten tillater angriper å hente ut deler på 64KB fra minnet til server eller klient som kjører den sårbare versjonen av OpenSSL. Denne metoden kan repeteres, dette vil si at man teoretisk kan dumpe minnet rundt prosessen, samt all trafikk som går gjennom TLS-tunellen.

Test-utnyttelser av denne sårbarheten tilsier at det vil være mulig for angriper å omgå alle TLS-beskyttelsesmekanismer.

Tidligere utnyttelse av denne sårbarheten ser ikke ut til å kunne avdekkes, fordi denne type trafikk ikke loggføres.

Sårbare versjoner:

OpenSSL 1.0.1 til og med 1.0.1f er sårbar. Versjon 1.0.1 ble utgitt i 2012.

Sårbarheten er fikset i versjon 1.0.1g som ble utgitt 7. april 2014. Versjoner eldre enn 1.0.1 er ikke sårbare.

Kjente distribusjoner og pakkeversjoner som har denne sårbarheten inkluderer:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) og 5.4 (OpenSSL 1.0.1c 10 May 012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) og 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Flere av disse har distribuert oppdaterte pakker.

Hvordan stoppe lekkasjen ?

Så lenge den sårbare versjon av OpenSSL er i bruk kan den bli misbrukt. 

De som eier systemer og drifter nettsider må oppdatere programvaren og vurdere skadepotensialet. Vi anbefaler også:

  • sjekke om det finnes oppdaterte pakker til deres system
  • oppdatere om nødvendig
  • vurdere bytte av SSL-sertifikater og annet sårbart nøkkelmateriale
  • Man kan kompilere OpenSSL uten heartbeat-extension.

Vi anbefaler også at tjenesteleverandører som har sårbarheten, og som har kunder med innloggingstjenester på den ene eller andre måten, oppdaterer, varsler brukerne, og anbefaler bytte av passord.

For privatpersoner:

  • Det er viktig at du oppdaterer programvaren på PC-en din umiddelbart når du får varsel om dette. Ikke utsett - gjør det nå.
  • Ha et bevisst forhold til hvilke passord du bruker - nå som alltid.
  • Er du i tvil, spør de tjenesteleverandører du bruker, og hør på hva slags eventuelle beskjeder du får fra dem.

NSM NorCERT er ikke kjent med at denne sårbarheten utnyttes "in-the-wild", men dette kan ikke utelukkes.

Se informasjon fra NorSIS om sårbarheten.

Se fire effektive tiltak mot dataangrep fra NSM.  

Mer informasjon om «Heartbleed», hvordan feilen fungerer og kan stoppes, samt en omfattende liste med «Spørsmål og svar» finnes på heartbleed.com. Her anbefales det å revokere nøkler forbundet med servere med OpenSSL installert.