Öryggisgalli í OpenSSL

[Bjosep]

Sælir

Langaði að fá smá umræðu um þetta væntanlega stórmál sem virðist einhverra hluta vegna vera undir radarnum.

En skv. fréttum fannst einhverskonar öryggisgalli í OpenSSL sem menn hafa kosið að nefna Heartbleed til marks um að dulkóðaðar upplýsingar hafi getað lekið út af netþjónum.

Norska upplýsingaöryggisstofnunin (NORSIS) varaði í gær eða fyrradag alla í Noregi við þessu og ráðlagði öllum að skipta um lykilorð, þó svo reyndar síðar hafi verið dregið í land með að allir þyrftu að gera það strax.
http://www.vg.no/forbruker/teknologi/da ... /10130428/

Aftenposten kallar þetta stærsta öryggisgalla sögunnar.
http://www.aftenposten.no/digital/Slik- ... 32711.html

Mbl.is fjallaði um þetta í morgun líklegast en fréttin fær bara pláss í tæknihorninu að mér sýnist.
http://www.mbl.is/frettir/taekni/2014/0 ... ggisgalla/
http://www.mbl.is/frettir/taekni/2014/0 ... ggisgalla/

[nidur]

Þetta er alveg frábært,

Ég er ánægður að vera með lastpass í svona uppákomum, þeir sýna þér hvaða síður hafa verið compromised og segja þér hvenær þú ættir að skipta um lykilorð á þeim.

[Dagur]

Frekari upplýsingar (og örugglega réttari en hjá mbl):

http://heartbleed.com/

[Revenant]

Já þetta er alvarleg villa og fyrir þá sem eru með vulnerable útgáfu ættu að patch-a strax.

Það er er hinsvegar alvarlegra er að þetta sýnir hversu OpenSSL kóðinn er illa skrifaður að mörgu leiti.
OpenSSL notast við eigin útgáfu af minnisstjórnun vegna þess að á "sumum" kerfum malloc (sem úthlutar minnir) verið hægt.
Þetta gerir það að verkum að nútíma varnir s.s. guard pages, W^X pages eða stack canaries virka ekki fyrir OpenSSL.

Rétt og traust dulkóðun er gríðalega flókið fyrirbrigði og það hjálpar ekki að vera með illa skrifaðan kóða sem er illa hægt að prófa.
Eins og einhver sagði að OpenSSL forritarar væru stærðfræðinar fyrst og síðan forritarar.