Valtteri Ahonen
8. huhtikuuta, 2014 13:40
Hyvin yleisesti käytössä olevasta avoimen lähdekoodin OpenSSL-salauskirjastosta on löytynyt haavoittuvuus. Mahdollisista hyökkäyksistä ei ole todettu jäävän jälkiä sovelluslokeihin.
OpenSSL:n versiosta 1.0.1 löytynyt tietoturva-aukko liittyy niin kutsuttuun heartbeat-protokollaan, jota käytetään TLS-istunnon ylläpitämiseen. Haavoittuvuutta hyödyntävällä hyökkäyksellä voi saada käsiinsä muiden käyttäjien viestien sisältöä, käyttäjätunnus-salasanapareja, evästeitä, istuntokohtaisia avaimia ja palvelun käyttämiä salaisia avaimia.
Haavoittuvaa kirjastoversiota käytetään esimerkiksi useissa Linux-jakeluissa.
Ensimmäisenä Neel Mehtan (Googlen turvallisuusyksiköstä) raportoima haavoittuvuus on korjattu versiossa 1.0.1g, johon päivittämistä Kyberturvallisuuskeskus suosittelee pikimmiten.
Lisätietoa haavoittuvuudesta löytyy Kyberturvallisuuskeskuksen sivuilta.