Sårbarhet i OpenSSL

Publisert: 09.07.2015

Sårbarheten tillater angriper å utføre Man-In-The-Middle-angrep (*2) på kryptert trafikk. Dette er i hovedsak et klient-problem, og ikke et server-problem.

OpenSSL Project har offentligjort en sårbarhet i OpenSSL (*1).

Sårbarheten er tildelt CVE-nummer CVE-2015-1793, og går under navnet "Alternative chains certificate forgery". 

Sårbarheten finnes i OpenSSL version:

  • 1.0.2c
  • 1.0.2b
  • 1.0.1n
  • 1.0.1o

Brukere av OpenSSL 1.0.2b/1.0.2c bør oppgradere til 1.0.2d. Brukere av OpenSSL 1.0.1n/1.0.1o bør oppgradere til 1.0.1p.

NorCERT har kommet fram til at de følgende versjonene av systemer som bruker OpenSSL er sårbare/ikke sårbare:

  • Ubuntu: En ikke offentlig utgitt alfa-versjon er sårbar (15.10). (*3)
  • Debian: Testing (stretch) og unstable (sid) er sårbar (*4)
  • REHL: Ingen versjoner sårbare
  • Mac: Ingen versjoner sårbare
  • Android: Ingen versjoner sårbare
  • Windows: Noen produkter som inkluderer sin egen versjon av OpenSSL kan være sårbare.

NorCERT er ikke kjent med at denne sårbarheten utnyttes "in-the-wild", men dette kan ikke utelukkes.

Eksterne linker*:

  1. http://openssl.org/news/secadv_20150709.txt
  2. https://en.wikipedia.org/wiki/Man-in-the-middle_attack
  3. https://security-tracker.debian.org/tracker/CVE-2015-1793
  4. http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-1793.html