Laitetaanpas tämä nyt tännekin. OpenSSL-kirjastosta on löytynyt haavoittuvuus, joka mahdollistaa palvelimen muistin sisällön kopionnin jättämättä jälkiä lokitiedostoihin. Kannattaa asentaa uusimmat päivitykset ja käynnistää OpenSSL-kirjastoa käyttävät ohjelmat uudelleen. Tosin pakettienhallintajärjestelmä osaa tämän useimmiten tehdä automaattisesti. Itse käynnistin palvelimet kokonaan uudelleen varmuuden vuoksi, jotta päivitys tulee voimaan varmasti koko järjestelmässä. Olen koonnut tähän viestiin olennaisimmat linkit ja tiedot haavoittuvuudesta.
https://www.cert.fi/varoitukset/2014/varoitus-2014-01.html
https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-049.html
Haavoittuvat OpenSSL-versiot
[ul][li]OpenSSL 1.0.1 - 1.0.1f on haavoittuva[/li]
[li]OpenSSL 1.0.1g ei ole haavoittuva[/li]
[li]OpenSSL 1.0.0 -haara ei ole haavoittuva[/li]
[li]OpenSSL 0.9.8 -haara ei ole haavoittuva[/li][/ul]
Haavoittuvat Linux-jakelut
[ul][li]CentOS 6.5, OpenSSL 1.0.1e-15 - http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html[/li]
[li]Debian Wheezy, OpenSSL 1.0.1e-2+deb7u4[/li]
[li]Fedora 18, 19, 20, OpenSSL 1.0.1e-4 - https://lists.fedoraproject.org/pipermail/announce/2014-April/003205.html[/li]
[li]OpenSUSE 12.2, OpenSSL 1.0.1c[/li]
[li]Red Hat Enterprise Linux, 6.5 OpenSSL 1.0.1e - https://rhn.redhat.com/errata/RHSA-2014-0376.html[/li]
[li]Ubuntu 12.04.4 LTS, 13.04, 13.10, OpenSSL 1.0.1-4ubuntu5.11 - http://www.ubuntu.com/usn/usn-2165-1/[/li][/ul]
Ei haavoittuvat Linux-jakelut
[ul][li]Debian Squeeze, OpenSSL 0.9.8o-4squeeze14[/li]
[li]SUSE Linux Enterprise Server[/li][/ul]
Aiheesta muualla
[ul][li]http://heartbleed.com/ - Bugi selostettuna englanniksi[/li]
[li]https://www.openssl.org/news/secadv_20140407.txt[/li]
[li]http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html - Bugin diagnoosia[/li]
[li]https://blog.ipredator.se/2014/04/how-to-test-if-your-openssl-heartbleeds.html - Bugin testaaminen[/li]
[li]http://filippo.io/Heartbleed/ - Työkalu palvelimen haavoittuvuuden testaamiseen[/li]
[li]https://blog.torproject.org/blog/openssl-bug-cve-2014-0160 - Bugin vaikutukset Tor-projekteihin[/li][/ul]
EDIT: 2014-04-09 15:33:49 listojen päivitystä