Kategorier
Länkar

Hackare kan övervaka din privata webbtrafik

It-administratörer som använder OpenSSL rekommenderas att omedelbart uppgradera till den senaste versionen 1.0.1g som släpptes i går. Merparten av de äldre versionerna innehåller nämligen en allvarlig bugg.

Läs mer: Heartbleed-buggen: ”Många tjänster drabbade”

Bristen som fått smeknamnet Heartbleed finns i flera versioner av OpenSSL, ett öppen källkod-baserat bibliotek för ssl- och tls-kryptering. Ssl och tls används av miljontals sajter, något som indikeras med en hänglåssymbol i webbläsaren.


Sårbarheten har fått smeknamnet Heartbleed.

Alla versioner mellan OpenSSL 1.0.1 till och med 1.0.1f utom 1.0.0 och 0.9.8 är sårbara. Detta enligt en webbsajt skapad av de säkerhetsforskare som upptäckte sårbarheten.

Den som utnyttjar bristen kan övervaka all information som passerar mellan en användare och en webbtjänst. Det går till och med att dekryptera tidigare trafik som samlats in.

”Det gör att hackare kan avlyssna kommunikationer, stjäla data direkt från tjänsterna och användarna och imitera tjänster och användare”, skriver forskarna på sajten.


Open Suse 12.2 är ett av många operativsystem som misstänks ha en sårbar version av OpenSSL.

Buggen upptäcktes av tre forskare från säkerhetsföretaget Codenomicon och Neel Mehta som arbetar med säkerhet för Googles räkning.

Problemet anses vara mycket omfattande eftersom många moderna operativsystem misstänks ha en sårbar version av OpenSSL. Debian Wheezy, Ubuntu 12.044 TLS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 och OpenSuse 12.2 ligger alla i riskzonen.

OpenSSL används också i två av de vanligaste mjukvarorna för webbservrar, Apache och Nginx, och nyttjas även för att skydda e-postservrar, chattservrar, virtuella privata nätverk och andra nätverksenheter.

IDG News