WebGang/CityGang

CVE-2014-0160

Er is een bug ontdekt in OpenSSL. SSL is een protocol dat dient om veilige verbindingen op te bouwen tussen bv een de browser van een internetgebruiker, en een webserver die hij bezoekt.

OpenSSL is de software die door allerlei programma’s gebruikt wordt om die SSL verbinding te maken.
Apache is zo’n webserver die OpenSSL gebruikt, maar ook andere programma’s gebruiken het.

Het is dus vooral een probleem voor de server, die door het gat in SSL in zijn geheugen laat kijken. Geen probleem voor jou dus.
Of toch. Als je een server met een SSL gat gebruikt, kan een kwaadwillende wel gegevens inzien die te maken hebben met jouw verbinding. Dat kunnen dingen zijn als login naam, wachtwoord, enz.
En dat is natuurlijk wel een probleem.
Bovendien laat het binnenkijken bij de server geen sporen na, en kan niemand je met zekerheid zeggen of jouw gegevens in verkeerde handen zijn gevallen.

Als je zelf servers hebt draaien, moet je kijken naar de versie van OpenSSL; het is sinds versie 1.01 van maart 2012 dat het probleem zich voordoet, en de recente versie 1.01e die het probleem heeft. Na een upgrade zal je een hoger versienummer hebben, bv OpenSSL 1.0.1g.

Voor de broncode heeft en kan compileren is er nog de mogelijkheid zijn programma zelf even te beveiligen, door het te compileren met -DOPENSSL_NO_HEARTBEATS om het stukje code waar het gat zit, buiten gebruik te stellen.

Een test op de commandolijn (Linux en Mac OSX):

Suse131:~ # openssl version

OpenSSL 1.0.1e 11 Feb 2013

http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/

http://www.muktware.com/2014/04/heartbleed-serious-openssl-bug-patched-linux-distros/25273