Haavoittuvuus OpenSSL-kirjaston versiossa 1.0.1

OpenSSL on yleisesti käytössä oleva avoimen lähdekoodin SSL- (Secure Sockets Layer), TLS- (Transport Layer Security) ja DTLS- (Datagram Transport Layer Security) protokollatoteutus sekä salauskirjasto. OpenSSL:ää käytetään esimerkiksi www-palvelinten https-toteutuksissa, sekä sähköpostipalveluiden viestiliikenteen salaamisessa asiakaskoneen ja palvelimen välillä.

Haavoittuvuus liittyy TLS:n heartbeat-protokollaan, jota käytetään TLS-istunnon ylläpitämiseen. OpenSSL-kirjaston toteutus kyseisestä protokollasta voi palauttaa vastauspaketissaan pyydetyn määrän, kuitenkin korkeintaan 65 kilotavua, satunnaista muistin sisältöä. Palautetun sisällön joukossa on testeissa havaittu muiden käyttäjien viestien sisältöä, käyttäjätunnus-salasanapareja, evästeitä, istuntokohtaisia avaimia ja palvelun käyttämiä salaisia avaimia. Toistamalla protokollapyyntöjä voi olla mahdollista saada lisää muistisisältöä. Hyökkäyksestä ei ole todettu jäävän jälkiä sovelluslokeihin.

Haavoittuvuuskoordinointi:


Haavoittuvuuden raportoi ensimmäisenä OpenSSL-yhteisölle Neel Mehta Googlen turvallisuusyksiköstä. Matti Kamunen, Antti Karjalainen ja Riku Hietamäki Codenomicon Oy:stä raportoivat haavoittuvuuden Kyberturvallisuuskeskukselle, joka edelleen raportoi siitä OpenSSL-yhteisölle. Kyberturvallisuuskeskus kiittää Codenomiconia haavoittuvuuden raportoinnista ja analyysistä.
  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • OpenSSL 1.0.1 - 1.0.1f. Haavoittuvuus on korjattu versiossa 1.0.1g.
Haavoittuvan kirjastoversion sisältäviä Linux- ja BSD-jakeluita ovat muunmuassa seuraavat:
  • Red Hat Enterprise Linux 6.5 (OpenSSL 1.0.1e)
  • Debian Wheezy (korjattu versiossa openssl 1.0.1e-2+deb7u5)
  • Ubuntu 12.04 LTS, 13.04 ja 13.10
  • Gentoo Linux
  • Slackware 14.0, 14.1 ja current
  • OpenBSD 5.3 ja 5.4
  • FreeBSD, versiot 10.x
  • NetBSD, versiot 6.1 - 6.1.3 ja 6.0 - 6.0.4
  • DragonflyBSD 3.6
  • Mandriva Business Server 1
  • CentOS 6.5
  • Scientific Linux 6.5
  • Oracle Linux
  • ClearOS 6.x
Seuraavat OpenSSL-kirjaston sisältämät ohjelmistot ovat haavoittuvia:
  • Cisco AnyConnect Secure Mobility Client for iOS
  • Cisco Desktop Collaboration Experience DX650
  • Cisco Unified 7800 series IP Phones
  • Cisco Unified 8961 IP Phone
  • Cisco Unified 9951 IP Phone
  • Cisco Unified 9971 IP Phone
  • Cisco TelePresence Video Communication Server (VCS)
  • Cisco IOS XECisco UCS B-Series (Blade) Servers
  • Cisco UCS C-Series (Stand alone Rack) Servers
  • Cisco Unified Communication Manager (UCM) 10.0
  • FortiGate FortiOS 5.0.5 ja 5.0.6
  • Junos OS 13.3R1
  • Juniper Odyssey client 5.6r5 ja sitä uudemmat versiot
  • Juniper SSL VPN (IVEOS) 7.4r1 ja sitä uudemmat versiot
  • Juniper SSL VPN (IVEOS) 8.0r1 ja sitä uudemmat versiot
  • Juniper UAC 4.4r1 ja sitä uudemmat versiot
  • Juniper UAC 5.0r1 ja sitä uudemmat versiot
  • Juniper Junos Pulse (Desktop) 5.0r1 ja sitä uudemmat versiot
  • Juniper Junos Pulse (Desktop) 4.0r5 ja sitä uudemmat versiot
  • Juniper Network Connect (windows) versiot 7.4R5 - 7.4R9.1 & 8.0R1 to 8.0R3.1
  • Juniper Junos Pulse (Mobile) on Android 4.2R1 ja sitä uudemmat versiot
  • Juniper Junos Pulse (Mobile) on iOS 4.2R1
  • F5 BIG-IP LTM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP AAM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP AFM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP Analytics versiot 11.5.0 - 11.5.1
  • F5 BIG-IP APM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP ASM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP GTM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP Link Controller 11.5.0 - 11.5.1
  • F5 BIG-IP PEM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP PSM versiot 11.5.0 - 11.5.1
  • F5 BIG-IP Edge Clients for Apple iOS versiot 2.0.0 - 2.0.1 ja 1.0.5
  • F5 BIG-IP Edge Clients for Linux versiot 7080 - 7101
  • F5 BIG-IP Edge Clients for MAC OS X versiot 7080 - 7101 ja 6035 - 7071
  • F5 BIG-IP Edge Clients for Windows versiot 7080 - 7101 ja 6035 - 7071
  • OpenVPN 2.3-rc2-I001 - 2.3.2-I003
  • Aruba ArubaOS versiot 6.3.x, 6.4.x

  • Aruba ClearPass versiot 6.1.x, 6.2.x, 6.3.x

  • Viscosity versiota 1.4.8 vanhemmat versiot
  • WatchGuard XTM ja XCS, versiota 11.8.3 CSP vanhemmat versiot
  • Blue Coat Content Analysis System versiot 1.1.1.1 - 1.1.5.1
  • Blue Coat Malware Analysis Appliance versio 1.1.1
  • Blue Coat ProxyAV versiot 3.5.1.1 - 3.5.1.6
  • Blue Coat ProxySG versiot 6.5.1.1 - 6.5.3.5
  • Blue Coat SSL Visibility 3.7.0
  • Jolla
  • F-Secure F-Secure Messaging Secure Gateway 7.5
  • F-Secure Protection Service for Email 7.5
  • F-Secure Anti-Theft Portal
  • Synology versiota DSM 5.0-4458 Update 2 vanhemmat versiot
  • Red Hat Enterprise Virtualization Hypervisor 6.5
  • Red Hat Storage 2.1

  • OpenVPN Access Server 1.8.4 – 2.0.5
  • FortiGate (FortiOS) 5.0.0 - 5.0.6
  • FortiClient 5.x
  • FortiAuthenticator 3.x
  • FortiMail 4.3.x and 5.x
  • FortiVoice 200D, 200D-T jaVM
  • FortiRecorder
  • FortiADC D-Series 1500D, 2000D ja 4000D
  • FortiADC E-Series 3.x
  • Coyote Point Equalizer GX / LX 10.x
  • FortiDDoS 4.x
  • FortiDNS
  • AscenLink v6.5 ja 7.0
  • VMware ESXi 5.5
  • VMware NSX-MH 4.x
  • VMware NSX-V 6.0.x
  • VMware NVP 3.x
  • VMware vCenter Server 5.5
  • VMware vFabric Web Server 5.0.x – 5.3.x
  • VMware Fusion 6.0.x
  • VMware Horizon Mirage Edge Gateway 4.4.x
  • VMware Horizon View 5.3 Feature Pack 1
  • VMware Horizon View Client for Android 2.1.x, 2.2.x, 2.3.x
  • VMware Horizon View Client for iOS 2.1.x, 2.2.x, 2.3.x
  • VMware Horizon View Client for Windows 2.3.x
  • VMware Horizon Workspace 1.0
  • VMware Horizon Workspace 1.5
  • VMware Horizon Workspace 1.8
  • VMware Horizon Workspace Client for Macintosh 1.5.1
  • VMware Horizon Workspace Client for Macintosh 1.5.2
  • VMware Horizon Workspace Client for Windows 1.5.1
  • VMware Horizon Workspace Client for Windows 1.5.2
  • VMware Horizon Workspace for Macintosh 1.8
  • VMware Horizon Workspace for Windows 1.8
  • VMware OVF Tool 3.5.0
  • VMware vCloud Networking and Security (vCNS) 5.1.3
  • VMware vCloud Networking and Security (vCNS) 5.5.1
  • DD-WRT (Avoimen lähdekoodin reititinohjelmisto)
  • OpenWRT (Avoimen lähdekoodin reititinohjelmisto)
  • McAfee ePolicy Orchestrator
  • McAfee Next Generation Firewall (Stonesoft)
  • McAfee Firewall Enterprise
  • McAfee Enterprise Security Manager (Nitro)
  • McAfee Email Gateway
  • McAfee Web Gateway
  • McAfee Security for Microsoft Exchange
  • McAfee Security for Microsoft Sharepoint
  • McAfee Security for Lotus Domino
  • Dell SonicWALL SRA SMB Secure Remote Access (Server Side Firmware) 7.0.0.10-26sv ja vanhemmat 7.0 versiot, 7.5.0.3-19sv ja vanhemmat 7.5 versiot
  • Dell SonicWALL SRA E-Class Secure Remote Access (Aventail) (E-Class SRA Server Software) Software version 10.6.4 versiot 10.7.0 ja 10.7.1
  • Dell SonicWALL SRA Global Management System (GMS) and Analyzer GMS and Analyzer 7.2 (Windows versio)
  • Extreme Networks Black Diamond Series X8, 8900 and 8800 EXOS versio 15.4.1
  • Extreme Networks Summit Series X770, X670, X480, X460, X440, X430, E4G-200 and E4G-400 EXOS versio 15.4.1
  • Extreme Networks 64-bit (Ubuntu) hardware-based and virtual NetSight appliances; versiot 4.4, 5.0, 5.1, ja 6.0
  • Extreme Networks 64-bit (Ubuntu) hardware-based and virtual NAC & IA appliances; versiot 5.0, 5.1, ja 6.0
  • Extreme Networks 64-bit (Ubuntu) hardware-based and virtual Purview appliances; versiot 6.0
  • NetApp Clustered Data ONTAP® Antivirus Connector
  • NetApp Data ONTAP® Storage Management Initiative Specification (SMI-S) Agent
  • NetApp Manageability SDK (5.0P1 ja myöhemmät)
  • NetApp OnCommand® Unified Manager Core Package (5.x)
  • NetApp OnCommand® Workflow Automation (2.2RC1)
  • NetApp SnapProtect® (10.0 and service packs)
  • NetApp Storage Management Initiative Specification (SMI-S) Providers for E-Series
  • Blue Coat Content Analysis System CAS 1.1.1.1 - 1.1.5.1
  • Blue Coat Malware Analysis Appliance 1.1
  • Blue Coat ProxyAV 3.5.1.1 - 3.5.1.6
  • Blue Coat ProxySG 6.5.1.1 - 6.5.3.5
  • Blue Coat SSL Visibility 3.7.0
  • neXus Hybrid Access Gateway 5.2
  • Barracuda Web Filter Version 7.0 - 7.1
  • Barracuda Message Archiver Version 3.5 ja 3.6
  • Barracuda Web Application Firewall Version 7.8
  • Barracuda Link Balancer Version 2.5
  • Barracuda Load Balancer Version 4.2
  • Barracuda Load Balancer ADC Version 5.0 - 5.1
  • Barracuda Cudatel Version 3.0 ja vanhemmat
  • Barracuda Firewall 6.1
  • Barracuda Cloud Control
  • Barracuda Backup Service
  • Barracuda Email Security Service
  • Barracuda Copy
  • Barracuda SignNow
  • NGINX
  • pfSense
  • Oracle Communications Operations Monitor
  • Oracle MySQL Enterprise Monitor
  • Oracle MySQL Enterprise Server version 5.6
  • Oracle Communications Session Monitor
  • Oracle Linux
  • Oracle Mobile Security Suite
  • Oracle Solaris 11.2
  • Oracle BlueKai
  • Oracle Java ME - JSRs and Optional Packages
  • Oracle Java ME - Mobile and Wireless
  • Oracle MySQL Connector/C
  • Oracle MySQL Connector/ODBC
  • Oracle MySQL Workbench
  • Oracle Communications Internet Name and Address Management
  • Oracle Communications Application Session Controller
  • Oracle Communications Interactive Session Recorder 5.1
  • Oracle Communications Network Charging and Control
  • Oracle Communications Session Delivery Management Suite
  • Oracle Communications Session Monitor
  • Oracle Communications WebRTC Session Controller
  • Oracle Primavera P6 Prof Project Management

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti. Linux-jakelujen käyttäjien osalta suositeltavin tapa tähän on jakelijan tarjoamat päivityspalvelut. Haavoittuvaa kirjastoa käyttävä palvelu on kirjastopäivityksen jälkeen käynnistettävä uudelleen.

Haavoittuvuutta voidaan rajoittaa poistamalla haavoittuva toiminto pois käytöstä. Tämä tapahtuu kääntämällä OpenSSL optiolla -DNO_OPENSSL_HEARTBEATS.

Haavoittuvuuskoordinoinnin yhteystiedot

Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #788210] viestin otsikossa.

Muut yhteystiedot:

https://www.kyberturvallisuuskeskus.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

Kyberturvallisuuskeskus suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.kyberturvallisuuskeskus.fi/palvelut/yhteystiedot/rooliavaimet.html

Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.kyberturvallisuuskeskus.fi/en/activities/Vulncoord/vulncoord-policy.html.

Lisätietoa:

Päivityksiä

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248