OpenSSL-kirjaston päivitys korjaa kaksi haavoittuvuutta

OpenSSL on yleisesti käytössä oleva avoimen lähdekoodin SSL- (Secure Sockets Layer), TLS- (Transport Layer Security) ja DTLS- (Datagram Transport Layer Security) protokollatoteutus sekä salauskirjasto. OpenSSL:ää käytetään esimerkiksi www-palvelinten https-toteutuksissa, sekä sähköpostipalveluiden viestiliikenteen salaamisessa asiakaskoneen ja palvelimen välillä.

OpenSSL-kirjaston versioista 1.0.1 ja 1.0.2 on korjattu kaksi haavoittuvuutta. Vakavampi haavoittuvuuksista (CVE-2016-0701) OpenSSL-kirjaston versiossa 1.0.2 johtaa salaukseen käytettyjen avainten paljastumisen hyökkääjälle, jonka jälkeen hyökkääjän on mahdollista purkaa salattu viestintä selväkieliseksi.

Haavoittuvuus (CVE-2015-3197) OpenSSL-kirjaston versioissa 1.0.1 ja 1.0.2 mahdollistaa SSLv2-kättelyn onnistumisen vaikka SSLv2-salausalgoritmit olisi asetettu pois toiminnasta, mikäli itse SSLv2-protokollaa ei ole konfiguraatiossa estetty.

Ohjelmistoversioissa 1.0.1r ja 1.0.2f on myös muutettu vuonna 2015 korjatun "Logjam"-haavoittuvuuden (CVE-2015-4000) yhteydessä kasvatetun Diffie-Hellman vähimmäisavainpituus 768 bitistä 1024 bittiin.


  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Verkon aktiivilaitteet
  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

OpenSSL 1.0.1 ja 1.0.2

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot versioihin 1.0.1r ja 1.0.2f

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248