Information om heartbleed

Heartbleed (CVE-2014-0160)

Under gårdagen uppmärksammades en sårbarhet i paketet openssl som används av en mängd olika applikationer.
Vi snabbade oss igår och skickade ut information via twitter och facebook, trots det är det många som har kontaktat oss och frågat om vi har säkrat upp servrarna.

Oderlands webbhotellsservrar, managed servers samt webmail, spamtvätt, kontrollpanelsservrar är alla uppdaterade och tjänsterna omstartade.

Vad innebär sårbarheten?

  • En attackerare kan få tag i den privata nyckeln och läsa krypterad data
  • Endast applikationer som använder sig utav openssl är sårbara
  • Vill man vara extra säker bör man förnya/byta ut sina nycklar samt ssl certifikat

Hur gör du som har en virtuell/dedikerad server hos oss utan managed tjänst?

Följande distributioner har rapporteras ha säkerhetshålet:

Debian Wheezy (Stable), OpenSSL 1.0.1e-2+deb7u4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Åtgärd:
Uppdatera systemet genom din pakethanterare och starta om servern. Vill du inte starta om servern helt så räcker det om du startar om samtliga tjänster som är beroende av openssl, men vi rekommenderar att du för enkelhetens skull startar om servern.

Exempel:
För att uppdatera till senaste OpenSSL så kör du för CentOS/RedHat

yum update openssl

eller för Debian/Ubuntu

apt-get --only-upgrade install openssl

Du behöver sedan starta om servern eller de tjänsterna som använder SSL, t.ex. Apache.

CentOS/RedHat:

service httpd stop;service httpd start

Debian/Ubuntu:

service apache2 stop; service apache2 start

En vanlig restart dödar tyvärr inte parent process, så därför bör man göra en stop och start för t.ex. Apache.

Läs mer:
http://heartbleed.com/