OpenSSL:stä löytynyt haavoittuvuus vaarantaa muun muassa sähköpostit

Valtteri Ahonen
8. huhtikuuta, 2014 13:40

Hyvin yleisesti käytössä olevasta avoimen lähdekoodin OpenSSL-salauskirjastosta on löytynyt haavoittuvuus. Mahdollisista hyökkäyksistä ei ole todettu jäävän jälkiä sovelluslokeihin.
OpenSSL:n versiosta 1.0.1 löytynyt tietoturva-aukko liittyy niin kutsuttuun heartbeat-protokollaan, jota käytetään TLS-istunnon ylläpitämiseen. Haavoittuvuutta hyödyntävällä hyökkäyksellä voi saada käsiinsä muiden käyttäjien viestien sisältöä, käyttäjätunnus-salasanapareja, evästeitä, istuntokohtaisia avaimia ja palvelun käyttämiä salaisia avaimia.

Haavoittuvaa kirjastoversiota käytetään esimerkiksi useissa Linux-jakeluissa.
Ensimmäisenä Neel Mehtan (Googlen turvallisuusyksiköstä) raportoima haavoittuvuus on korjattu versiossa 1.0.1g, johon päivittämistä Kyberturvallisuuskeskus suosittelee pikimmiten.

Lisätietoa haavoittuvuudesta löytyy Kyberturvallisuuskeskuksen sivuilta.

Lue myös nämä
Tägit
tietoturva tietoturva-aukko OpenSSL
Käytämme evästeitä sivuillamme. Näin parannamme palveluamme.