Heartbleed

Linux.fista
Versio hetkellä 22. huhtikuuta 2014 kello 15.58 – tehnyt Oselotti (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun

Heartbleed (CVE-2014-0160) on 7. huhtikuuta 2014 paljastunut haavoittuvuus OpenSSL-kirjaston heartbeat-protokollassa.

Haavoittuvat OpenSSL-versiot

Oman OpenSSL:n version voi tarkastaa komentamalla:

$ openssl version
  • OpenSSL 1.0.1 - 1.0.1f ovat haavoittuvia
  • OpenSSL 1.0.1g ei ole haavoittuva
  • OpenSSL 1.0.0-haara ei ole haavoittuva
  • OpenSSL 0.9.8-haara ei ole haavoittuva

Bugi on ollut OpenSSL-kirjastossa joulukuusta 2011 alkaen. OpenSSL:n haavoittuva versio 1.0.1 julkaistiin vakaana versiona 14.3.2014. OpenSSL 1.0.1g, joka julkaistiin 7.4.2014, korjaa bugin.

Haavoittuvat jakelut

Android

Androidin OpenSSL-version voi tarkistaa komentamalla esimerkiksi terminaaliemulaattorissa tai SSH-yhteyden yli:

$ grep ^OpenSSL\  /system/lib/libssl.so

Esimerkiksi Android 2.3.7 (CyanogenMod 7.2) antaa tulosteeksi OpenSSL 1.0.0a 1 Jun 2010.

OpenSSL 1.0.0 -haara ei ole haavoittuva, eli sitä ei tarvitse päivittää. Mikäli käytössä on Androidin versio joka on haavoittuva, ei Google välttämättä aio päivittää sitä, vaan se tulee päivittää itse.

Myös Google Play -sovelluskaupasta löytyy joitain suljetun lähdekoodin työkaluja heartbleedin havaitsemiseen.

CentOS

Debian

Fedora

openSUSE

Red Hat Enterprise Linux

Red Hat Enterprise Linux 6.4 ja sitä edeltävät versiot (RHEL 5 ja 4) eivät ole haavoittuvia. RHEL 6.5 ja RHEL 7 BETA ovat haavoittuvia. Korjaava päivitys: openssl-1.0.1e-16

Sailfish

Sailfishin versio 1.0.5.16, Paarlampi korjaa heartbleed-haavoittuvuuden. Sitä aiemmat versiot ovat haavoittuvia.

Ubuntu

Ohjelmat

Tor

Vaikutukset avoimen lähdekoodin yhteisöihin

Bugin ilmaantumisen jälkeen OpenBSDn kehittäjät alkoivat kehittää omaa LibreSSL-kirjastoa, joka on haarautettu OpenSSL-kirjastosta, mutta kaikki "turha" koodi on otettu pois selkeyden vuoksi.

Aiheesta muualla