Ero sivun ”Heartbleed” versioiden välillä
(Ak: Uusi sivu: right|200px '''Heartbleed''' (CVE-2014-0160) on 7. huhtikuuta 2014 paljastunut haavoittuvuus OpenSSL-kirjaston heartbeat-protokollassa. * https://w...) |
p ({{InternetArchive}}) |
||
(3 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 2: | Rivi 2: | ||
'''Heartbleed''' (CVE-2014-0160) on 7. huhtikuuta 2014 paljastunut haavoittuvuus [[OpenSSL]]-kirjaston heartbeat-protokollassa. | '''Heartbleed''' (CVE-2014-0160) on 7. huhtikuuta 2014 paljastunut haavoittuvuus [[OpenSSL]]-kirjaston heartbeat-protokollassa. | ||
* https://www.cert.fi/varoitukset/2014/varoitus-2014-01.html | * https://www.kyberturvallisuuskeskus.fi/fi/varoitukset?limit=20&offset=0&query=CVE-2014-0224 | ||
* https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-049.html | * [https://web.archive.org/web/20140414025145/https://www.cert.fi/varoitukset/2014/varoitus-2014-01.html https://www.cert.fi/varoitukset/2014/varoitus-2014-01.html] {{InternetArchive}} | ||
* [https://web.archive.org/web/20170317183630/https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2014/haavoittuvuus-2014-049.html https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-049.html] {{InternetArchive}} | |||
==Haavoittuvat OpenSSL-versiot== | ==Haavoittuvat OpenSSL-versiot== | ||
Rivi 27: | Rivi 28: | ||
===CentOS=== | ===CentOS=== | ||
* | * https://lists.centos.org/pipermail/centos-announce/2014-April/020249.html | ||
===Debian=== | ===Debian=== | ||
Rivi 47: | Rivi 48: | ||
===Ubuntu=== | ===Ubuntu=== | ||
* | * https://www.ubuntu.com/usn/usn-2165-1/ | ||
==Ohjelmat== | ==Ohjelmat== | ||
===Tor=== | ===Tor=== | ||
* https://blog.torproject.org/blog/openssl-bug-cve-2014-0160 | * https://blog.torproject.org/blog/openssl-bug-cve-2014-0160 | ||
==Vaikutukset avoimen lähdekoodin yhteisöihin== | |||
Bugin ilmaantumisen jälkeen [[OpenBSD]]n kehittäjät alkoivat kehittää omaa [[LibreSSL]]-kirjastoa, joka on haarautettu OpenSSL-kirjastosta, mutta kaikki "turha" koodi on otettu pois selkeyden vuoksi. | |||
==Aiheesta muualla== | ==Aiheesta muualla== | ||
* | * https://heartbleed.com/ | ||
* https://www.openssl.org/news/secadv_20140407.txt | * https://www.openssl.org/news/secadv_20140407.txt | ||
* http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html | * [https://web.archive.org/web/20170216130100/https://www.seancassidy.me/diagnosis-of-the-openssl-heartbleed-bug.html http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html] {{InternetArchive}} | ||
* https://blog.ipredator.se/2014/04/how-to-test-if-your-openssl-heartbleeds.html | * [https://web.archive.org/web/20140913202155/https://blog.ipredator.se/2014/04/how-to-test-if-your-openssl-heartbleeds.html https://blog.ipredator.se/2014/04/how-to-test-if-your-openssl-heartbleeds.html] {{InternetArchive}} | ||
* | * https://filippo.io/heartbleed/ | ||
==Katso myös== | |||
* [[LibreSSL]] - turvallisempi vaihtoehto OpenSSL-kirjastolle. | |||
[[Luokka:Haavoittuvuudet]] | |||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] |
Nykyinen versio 25. helmikuuta 2022 kello 18.05
Heartbleed (CVE-2014-0160) on 7. huhtikuuta 2014 paljastunut haavoittuvuus OpenSSL-kirjaston heartbeat-protokollassa.
- https://www.kyberturvallisuuskeskus.fi/fi/varoitukset?limit=20&offset=0&query=CVE-2014-0224
- https://www.cert.fi/varoitukset/2014/varoitus-2014-01.html [Wayback Machine]
- https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-049.html [Wayback Machine]
Haavoittuvat OpenSSL-versiot[muokkaa]
Oman OpenSSL:n version voi tarkastaa komentamalla:
$ openssl version
- OpenSSL 1.0.1 - 1.0.1f ovat haavoittuvia
- OpenSSL 1.0.1g ei ole haavoittuva
- OpenSSL 1.0.0-haara ei ole haavoittuva
- OpenSSL 0.9.8-haara ei ole haavoittuva
Bugi on ollut OpenSSL-kirjastossa joulukuusta 2011 alkaen. OpenSSL:n haavoittuva versio 1.0.1 julkaistiin vakaana versiona 14.3.2014. OpenSSL 1.0.1g, joka julkaistiin 7.4.2014, korjaa bugin.
Haavoittuvat jakelut[muokkaa]
Android[muokkaa]
Androidin OpenSSL-version voi tarkistaa komentamalla esimerkiksi terminaaliemulaattorissa tai SSH-yhteyden yli:
$ grep ^OpenSSL\ /system/lib/libssl.so
Esimerkiksi Android 2.3.7 (CyanogenMod 7.2) antaa tulosteeksi OpenSSL 1.0.0a 1 Jun 2010.
OpenSSL 1.0.0 -haara ei ole haavoittuva, eli sitä ei tarvitse päivittää. Mikäli käytössä on Androidin versio joka on haavoittuva, ei Google välttämättä aio päivittää sitä, vaan se tulee päivittää itse.
Myös Google Play -sovelluskaupasta löytyy joitain suljetun lähdekoodin työkaluja heartbleedin havaitsemiseen.
CentOS[muokkaa]
Debian[muokkaa]
Fedora[muokkaa]
openSUSE[muokkaa]
Red Hat Enterprise Linux[muokkaa]
- https://rhn.redhat.com/errata/RHSA-2014-0376.html
- https://access.redhat.com/site/announcements/781953
Red Hat Enterprise Linux 6.4 ja sitä edeltävät versiot (RHEL 5 ja 4) eivät ole haavoittuvia. RHEL 6.5 ja RHEL 7 BETA ovat haavoittuvia. Korjaava päivitys: openssl-1.0.1e-16
Sailfish[muokkaa]
Sailfishin versio 1.0.5.16, Paarlampi korjaa heartbleed-haavoittuvuuden. Sitä aiemmat versiot ovat haavoittuvia.
Ubuntu[muokkaa]
Ohjelmat[muokkaa]
Tor[muokkaa]
Vaikutukset avoimen lähdekoodin yhteisöihin[muokkaa]
Bugin ilmaantumisen jälkeen OpenBSDn kehittäjät alkoivat kehittää omaa LibreSSL-kirjastoa, joka on haarautettu OpenSSL-kirjastosta, mutta kaikki "turha" koodi on otettu pois selkeyden vuoksi.
Aiheesta muualla[muokkaa]
- https://heartbleed.com/
- https://www.openssl.org/news/secadv_20140407.txt
- http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html [Wayback Machine]
- https://blog.ipredator.se/2014/04/how-to-test-if-your-openssl-heartbleeds.html [Wayback Machine]
- https://filippo.io/heartbleed/
Katso myös[muokkaa]
- LibreSSL - turvallisempi vaihtoehto OpenSSL-kirjastolle.