Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, krypto

SR09-005 OpenSSL - OpenSSL sårbart: Ett flertal produkter drabbade

OpenSSL kan godkänna riggade certifikat. Ett flertal produkter är drabbade då de använder OpenSSL, exempelvis BIND.

Problembeskrivning

CVE-referens: CVE-2008-5077 CVE-2009-0021 CVE-2009-0025 CVE-2009-0046 CVE-2009-0047 CVE-2009-0048 CVE-2009-0049 CVE-2009-0050 CVE-2009-0051

OpenSSL är ett krypto-API som implementerar SSL-och TLS-protokollet. Returkoden från EVP_VerifyFinal-funktionen kontrolleras felaktigt på ett flertal ställen i koden. Detta kan leda till att en felaktig signatur godkänns istället för att generera ett fel. Signaturer genererade med DSA-eller ECDSA-nycklar är sårbara. Observera att RSA-nycklar inte är påverkade. En angripare kan utnyttja sårbarheten genom att returnera ett riggat certifikat som kommer gå förbi kontrollen i OpenSSL, vilket exempelvis kan användas i en "man-in-the-middle"-attack.

OpenSSL är ett API som används av många produkter, till exempel:

  • BIND: Version 9.4.3 eller tidigare är sårbar. Rättade versioner: 9.3.6-P1, 9.4.3-P1, 9.5.1-P1, 9.6.0-P1.
  • NTP (Network Time Protocol): Version 4.2.4p5 eller tidigare är sårbar. Version 4.2.4p6 är rättad.
  • Sun GridEngine: Version 5.3 eller tidigare är sårbar. Version 6.0 är rättad.

Se listan från oCERT för en fylligare listan över sårbara produkter.

OpenSSL 0.9.8j innehåller en rättning av säkerhetsbristen.

Google Security Team upptäckte sårbarheten.

Påverkade versioner

  • OpenSSL 0.9.8i eller tidigare

Mer information och programrättningar

http://www.openssl.org/news/secadv_20090107.txt
http://www.ocert.org/advisories/ocert-2008-016.html
http://www.securityfocus.com/bid/33150
http://www.securitytracker.com/alerts/2009/Jan/1021523.html
http://secunia.com/advisories/33338/
http://www.securitytracker.com/alerts/2009/Jan/1021533.html
http://www.ubuntu.com/usn/usn-704-1