2014-04-10
Nyhet

OS X och Heartbleed-buggen

En hel del information har florerat runt vad som egentligen gäller för OS X, OS X Server, iOS och den så kallade Heartbleed-buggen.

Först och främst – vad är egentligen Heartbleed-buggen?

En bugg i källkoden för OpenSSL, som hanterar SSL-krypteringen i exempelvis webbservern Apache, har gjort det möjligt att med ett enkelt script läsa av delar av det aktiva minnet i exempelvis en webbserver. Det innebär att man om man oavbrutet kört ett script för ändamålet kunnat hämta hem 64 kilobyte information som finns i minnet som webbservern använder. Dessa 64 kilobyte är helt slumpmässiga och därför kan man antingen få napp eller inte få ut någon vettig information alls men genom att kontinuerligt läsa av informationen dygnet runt så är det inte alls omöjligt att lösenord, kreditkortsuppgifter, SSL-certifikat och annan information läckt ut.

Det hela blir än mer problematiskt då detta inte loggas i exempelvis webbserverns loggfiler. Det kan alltså pågå i det tysta, dygnet runt tills att man själv uppdaterar sin server med en ny version av OpenSSL. Sannolikt har det också pågått länge – buggen har funnits i över två år

Normalt sett brukar Apple få rätt mycket skäll av sina användare för att de inte alltid ligger först med de senaste versionerna av olika komponenter som bygger på öppen källkod. Men i det här fallet kan vi som kör Mac vara rätt tacksamma över att Apple i Mac OS X 10.9 “Mavericks” använder version 0.9.8y från den femte februari 2013 som inte har Heartbleed-buggen i sin kod. Detta innebär också att tidigare versioner av Mac OS X är säkra i detta avseende, förutsatt att den senaste versionen av respektive generation av Mac OS X är installerad. Exempelvis är Mac OS X 10.8.2 “Mountain Lion” drabbad av problemet men Mac OS X 10.8.5 “Mountain Lion” ska vara säker då den innehåller paketet Security Update 2013-004 som också är tillgänglig för både Mac OS X 10.7.5 “Lion”, Mac OS X 10.6.8 “Snow Leopard” i både klient- och serverversion.

Den version som är drabbad är OpenSSL version 1.0.1 till 1.0.1f, där version 1.0.1 släpptes den 14 mars 2012. Version 1.0.1g, som släpptes den 7 april i år löser problemet med denna bugg.

Jag skrev tidigare att det förhoppningsvis kommer en buggfix för OS X och OS X Server för detta men det visar sig alltså att det inte behövs då Apple alltså inte använder den senaste koden och dessutom avråder utvecklare från att använda OpenSSL i sina applikationer.

Observera: Om du installerat Apache, OpenSSL eller andra applikationer som använder det senare via Macports eller annan distributionsmetod så är risken överhängande att du har en version av OpenSSL som är osäker. Kolla noga och om det behövs en uppdatering av OpenSSL måste du starta om applikationen, exempelvis Apache, efter att uppdateringen är gjord.

iOS då? Här är det betydligt enklare – iOS använder inte OpenSSL över huvudtaget så i det här fallet är iOS-användarna säkra.

Om du har konton hos någon av de följande sajterna bör du byta lösenord snarast:

Facebook
Google
Tumblr
Yahoo (och sannolikt också Flickr)
Amazon
Dropbox
Lastpass
Soundcloud

Apple och Twitter tillhör de företag som inte svarat på frågor om de använder OpenSSL och en version som i så fall är drabbad av denna bugg. En hel lista över större webbsajter som drabbats finns här.

Om du har en brandvägg som bygger på Linux eller någon form av BSD, vilket kan vara allt från PfSense till en modell från exempelvis Linksys, och har råkat ha management-gränssnittet åtkomligt från Internet är det hög tid att antingen uppdatera brandväggen eller byta ut den. Hur som helst måste du byta lösenord på din brandvägg snarast.

Du kan testa servrar, brandväggar annat här.



© 2018 Omsoc Publishing AB