Sårbarheder fundet i OpenSSL

1 april 2021

To sikkerhedsfejl blev for nylig fundet i OpenSSL, en software, der ofte bruges til at etablere HTTPS-forbindelser, hvilket kan føre til begrænset adgang til websteder. Bruger du OpenSSL? Tjek din OpenSSL-version, så du kan opdatere hurtigt, hvis det er nødvendigt.

Hvad foregår der helt præcist?

I slutningen af ​​marts blev et eksempel på proof-of-concept udnyttelse offentliggjort på den meget anvendte platform Github, hvor to fundne sårbarheder er demonstreret. Der findes en sårbarhed i implementeringen af ​​TLS-genforhandling (CVE-2021-3449), som kunne udnyttes til et DoS (Denial of Service) angreb, der resulterer i et servernedbrud. Den anden sårbarhed (CVE-2021-3450) muliggør et Man in the Middle angreb, som gør det muligt at se og ændre information under et angreb.

Hvad er konsekvenserne?

National Cyber Security Center (NCSC) har vurderet risikoen for disse sårbarheder som "høj", fordi sandsynligheden for kortsigtet misbrug og potentiel skade er høj. OpenSSL 1.1.1 og derunder er sårbare, OpenSSL 1.0.2 er ikke sårbare. Servere er sårbare med TLSv1.2 og genforhandling aktiveret, hvilket er standardkonfigurationen.

Hvad kan du gøre?

OpenSSL-projektteamet har frigivet en sikkerhedsopdatering til de to sikkerhedshuller i OpenSSL. Bruger du OpenSSL version 1.1.1j eller lavere? Opdater til version 1.1.1k så hurtigt som muligt.