Informace k chybě knihovny OpenSSL

Informace pro zákazníky společnosti LinuxBox.cz k aktuální chybě knihovny OpenSSL „Heartbleed“.

Chtěli bychom tímto reagovat na publikovanou chybu knihovny OpenSSL „Heartbleed“ (např. upozornění: www.root.cz/zpravicky/zavazna-chyba-v-openssl-umoznuje-ziskat-privatni-klic/ a rozbor: http://www.root.cz/clanky/heartbleed-bug-vazna-zranitelnost-v-openssl/ ).

Na serverech, kde je instalována distribuce LinuxBox, byla tato knihovna během dopoledne téhož dne (8.4.2014) nahrazena opravenou verzí a veřejně přístupné web servery s otevřeným https protokolem byly poté restartovány.

Nicméně bohužel nelze vyloučit možnost, že chyba mohla být zneužita i v době od vydání chybné verze (nacházela se pouze v distribuci LinuxBox verze 6, a to od 4.12.2013) do zveřejnění opravy (8.4.2014).

Chyba umožňovala i neautorizovanému uživateli přenést až 64kB dat z paměti serveru a v tomto objemu paměti se s nenulovou pravděpodobností mohly nacházet citlivé informace, které by mohl útočník zneužít i nyní, přestože je chyba opravena (konkrétně privátní klíče webového serveru a u některých aplikací i uživatelská jména či dokonce hesla).

Klíče

Obecně se doporučuje jako bezpečný postup v takových případech považovat privátní klíče certifikátů serverů za potencionálně kompromitované a nahradit je novými. Toto již na serverech spravovaných firmou LinuxBox.cz proběhlo (u klíčů podepsaných lokální certifikační autoritou) nebo probíhá (u zákazníků používajících svůj vlastní zakoupený klíč podepsaný veřejnou certifikační autoritou). Nicméně zneužití této chyby je podmíněno přístupem případného útočníka ke komunikaci (možnost odposlechu na trase mezi uživatelem a serverem), kdy takovémuto útočníkovi teoreticky umožňuje získat informace z komunikace, která je chráněna šifrováním.

Hesla a další citlivé informace

Způsob zneužití je zde sice hůře předvídatelný, ale je velmi málo pravděpodobné, že by se případnému útočníkovi podařilo získat kombinaci uživatelské jméno + heslo. Pravidelná (např. 1x ročně) změna hesla webové služby (např. přístup do WebMailu) je obecně bezpečným postupem, proto nelze než doporučit změnu právě teď.

Služby s OpenSSL, které mohly být přístupné z Internetu

  • VPN server OpenVPN – tato služba nemohla být zneužita
  • Webový server Apache (např. pro WebMail) – služba mohla být zneužita
  • Mail server Sendmail – tato služba nemohla být zneužita
  • IMAP/POP3 server – tato služba mohla být zneužita, ale útočník nemohl zjistit žádné informace o uživatelích – oprava výměnou certifikátu tedy situaci plně řeší
  • SSH server OpenSSH – tato služba nemohla být zneužita
  • aktualizace 18.4.2014    Telefonní ústředna – PBX – tato služba nemohla být zneužita

Hesla k veřejným službám

Jde o služby, které nejsou provozovány na serverech společnosti LinuxBox.cz, můžeme vás odkázat na soupis, který vyšel například v článku www.lupa.cz/clanky/heartbleed-bug-jak-se-k-chybe-v-openssl-stavi-ceske-i-svetove-firmy/