Sårbarhet i OpenSSL

Publisert: 20.02.2017

OpenSSL Software Foundation har publisert et sikkerhetsvarsel for en sårbarhet i OpenSSL [1]. Sårbarheten er klassifisert med høy viktighet.

CVE-2017-3733: Encrypt-Then-MAC(EtM) reforhandling

Sårbarheten muliggjør tjenestenektsangrep ved å krasje OpenSSL-klienter og servere.

For å utnytte sårbarheten kreves det at EtM blir brukt i en av handshakene, men ikke begge, og at en spesifikk ciphersuite blir benyttet.

Påvirkede versjoner

  • OpenSSL 1.1.0 og nyere.
  • Ingen versjoner før OpenSSL 1.1.0

CVE-referanse

  • CVE-2017-3733

Anbefalinger

NorCERT anbefaler at man tester og installerer leverandørdistribuerte oppgraderinger eller oppdaterer til OpenSSL 1.1.0e.

  1. https://www.openssl.org/news/secadv/20170216.txt