![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
Flera tillverkare har rättat programvaror med anledning av "Heartbleed"-sårbarheten
Med anledning av "Heartbleed"-sårbarheten i OpenSSL och det faktum att väldigt många tillverkare har släppt rättningar till sina programvaror, vill CERT-SE påminna om vikten av att:
- Installera rättade versioner av sårbara programvaror. Observera att både serverprogram och klientprogram kan innehålla sårbarheten.
- Byt ut certifikat efter uppgraderingen eftersom den privata nyckeln kan vara röjd. Vidare kan annan käslig information ha läckt, exempelvis användarnamn och lösenord. Utvärdera informationsläckaget och vidta lämpliga åtgärder, exempelvis återställ alla lösenord.
US-CERT[1] och CERT-FI[2] har listat ett antal tillverkare och produkter och huruvida dessa är sårbara eller inte. Observera att ingen av listorna är helt komplett.
Det finns ett Nmap-skript[3] som kan användas för att kontrollera om en server är sårbar för Heartbleed. Qualys har en webbsida som kan användas för samma ändamål[4] och CrowdStrike har släppt ett Windows-verktyg[5].
[1] http://www.kb.cert.org/vuls/id/720951
[2] https://www.cert.fi/en/reports/2014/vulnerability788210.html
[3] http://nmap.org/nsedoc/scripts/ssl-heartbleed.html
[4] https://www.ssllabs.com/ssltest/
[5] http://www.crowdstrike.com/blog/new-community-tool-crowdstrike-heartbleed-scanner/index.html