Haavoittuvuus OpenSSL-kirjastossa vaatii välittömiä toimia verkkopalvelujen ylläpitäjiltä

OpenSSL-kirjaston haavoittuvuuden hyväksikäyttöön tähtäävä skannaus on käynnistynyt julkaistujen haavoittuvuustiedotteiden julkaisun jälkeen. Haavoittuvien OpenSSL-kirjastoa käyttävien palvelinten päivitys suositellaan toteutettavan välittömästi. Haavoittuvien palvelinten palvelinvarmenteet on vaihdettava palvelinpäivityksen jälkeen. Palvelinten käyttäjien salasanojen vaihto hallitusti on suositeltavaa.

OpenSSL-kirjaston haavoittuvuus tekee mahdolliseksi haavoittuvien palvelimien muistin sisällön kopionnin. Haavoittuvuuden avulla on pystytty kopioimaan www-palvelimelta käyttäjien käyttäjätunnus- ja salasanapareja, evästeitä, istuntokohtaisia avaimia ja palvelun käyttämiä salaisia avaimia.

Jos palvelimen salaiset avaimet ovat joutuneet vääriin käsiin ja palvelussa ei ole käytetty Perfect Forward Secrecy (PFS) -salaustoiminnallisuutta, palvelimen aikaisemman verkkoliikenteen purkaminen on mahdollista.

Haavoittuvalla OpenSSL-kirjastolla varustetut palvelimet on syytä päivittää välittömästi. Kyberturvallisuuskeskuksella on havaintoja haavoittuvien palvelimien etsintätoiminnasta ja haavoittuvuuden aktiivisesta hyödyntämisestä.

Vain osa SSL-salausta käyttävistä verkkopalveluista on haavoittuvia. Viestintäviraston Kyberturvallisuuskeskus selvittää haavoittuvien palveluiden määrää Suomessa. Kyberturvallisuuskeskuksen havaintojen mukaan suomalaiset verkkopalvelujen ylläpitäjät ovat päivittäneet aktiivisesti haavoittuvia ohjelmistoja.

Verkkopalvelujen loppukäyttäjien tulee seurata verkkopalvelujen ylläpitäjien virallisia tiedotteita aktiivisesti mahdollisia toimintaohjeita varten.

Viestintäviraston Kyberturvallisuuskeskus on päivittänyt 10.4 OpenSSL-haavoittuvuustiedotetta, lisäten siihen listan haavoittuvista ohjelmistoista.

Varoituksen kohderyhmä

  • OpenSSL-kirjastoa käyttävien palvelimien ylläpitäjät

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivitä haavoittuvat palvelimien OpenSSL-kirjasto Viestintäviraston haavoittuvuustiedotteen ja palvelinohjelmistojen valmistajien ohjeiden mukaisesti
  • OpenSSL-kirjaston päivityksen jälkeen: vaihda palvelimen käyttämät palvelinsalausavaimet, esimerkiksi SSL-sertifikaatit.
  • Loppukäyttäjien on syytä seurata verkkopalvelujen ylläpitäjien virallisia tiedotteita toimintaohjeita varten.
  • Perfect Forward Secrecy (PFS) -salausominaisuuksien käyttöönottoa kannattaa harkita. PFS-salausominaisuudet auttavat estämään mahdollisen aikaisemmin tallennetun liikenteen hyödyntämisen avainmateriaalin joutuessa vääriin käsiin.

Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248