Heartbleed-sårbarheten i OpenSSL

Heartbleed er en bug i OpenSSL som gjør at eksterne angripere kan få tilgang til tilfeldige små blokker minnesegmenter på servere som bruker OpenSSL, disse blokkene kan inneholde sensitive data.

Vi oppgraderte alle MinHost sine servere med en gang patchet versjon av OpenSSL ble tilgjengelig via CentOS sine mirrors, dette ble gjort hos oss på morgenen tirsdag 8. april.

I løpet av kvelden onsdag 9. april byttet vi ut alle alle SSL-sertifikater og private nøkler på hal.minhost.no (kjører våre egne sider og innlogging til tjenester) og dns.minhost.no (kjører kun dns og navnetjeneren ns2.minhost.no).

I løpet av natten torsdag 10. april byttet vi ut alle SSL-sertifikater og private nøkler på turbo.minhost.no og hyper.minhost.no, dette er de to serverene som hoster våre kunder sine webhotell.

Sent torsdag natt restartet vi alle tjenester på våre servere som linket til OpenSSL og stoppet alle aktive pid knyttet til de gamle bibliotekene.

OpenSSL-versjonen på CentOS-servere eldre enn CentOS 6.5 er ikke sårbare for Heartbleed-bugen, og våre servere har dermed vært sårbare fra 2. desember 2013 da vi oppgraderte fra CentOS 6.4 til 6.5 (postet på Twitter).

Vi har ikke observert noe som tyder på at sårbarheten er blitt utnyttet på våre servere, og via media er det ikke avdekket at noen har utnyttet sikkerhetshullet i tiden det ikke har vært allment kjent frem til for noen dager siden.

Vi anser det som usannsynlig at noen av våre servere har vært utsatt for angrep mot Heartbleed-sårbarheten innen vi patchet dem. Men det er uansett alltid god praksis å bytte ut sine passord med jevne mellomrom, det er noe vi alltid anbefaler.

Du kan selv sjekke at våre servere ikke er sårbare ved å gå til www.ssllabs.com/ssltest og skrive inn serverens hostnavn, her er listen over alle våre servere om du vil teste dem:

  • hal.minhost.no
  • dns.minhost.no
  • turbo.minhost.no
  • hyper.minhost.no

Du kan også teste et hvilket som helst domene via filippo.io/Heartbleed , men merk at noen har rapportert at det kan forekomme falske/positive.

Til slutt kan du sjekke at SSL-sertifikatetene er byttet ut på en dato etter OpenSSL på serverene ble oppgradert med patchet versjon som ikke har sårbarheten, det kan sjekkes direkte i din egen nettleser når du er på https-sider, eller ved å bruke denne tjenesten lastpass.com/heartbleed

Se heartbleed.com og Difi.no: Veileder i håndtering av kritisk sårbarhet i OpenSSL – Heartbleed for mer informasjon.

Her er til slutt et sitat fra dagens artikkel om Heartbleed på digi.no:

«Til NTB sier Arne Asplem, seksjonssjef for teknisk analyse og datasikkerhet i Nasjonal sikkerhetsmyndighet (NSM), at det er grunn til å avdramatisere frykten for at folks sensitive data kan være på avveie.

– Hvis du følger god passordskikk – har gode passord, bytter regelmessig, ikke gjenbruker samme passord på alle tjenestene – da har du ingen grunn til bekymring, sier Asplem til NTB.»