Apr 122014
 

heartbleedI veckan kom nyheten om Heartbleed – en allvarlig programmeringsmiss i OpenSSL, ett bibliotek som används för säkra TLS-förbindelser på väldigt många system, både inbäddade system och mail, telefoni och webb-servrar. Det är alla versioner från OpenSSL 1.0 och uppåt som är drabbade.

Buggen i koden gör att man kan komma åt hemliga nycklar och slumpmässig vald data i servrar och i viss mån i klienter. Det är givetvis inte bra.

Du måste kolla din server. För Linux/Unix-system kör du kommandot “openssl version” i kommandoprompten. Om du har ett drabbat system, stäng då av programmen – Apache, Nginx, Asterisk, Kamailio, Postfix – alla som använder OpenSSL. Uppgradera sedan systemet till den senaste och säkraste versionen. Alla Linux-distributioner och *BSD-system har tillgängliga uppdateringar som fixar den här buggen.

Skapa ett nytt nyckelpar, beställ ett nytt certifikat – det är oftast kostnadsfritt – och starta om.

Sedan är det upp till dig att avgöra vad skadan kan innebära. Någon kan utan din vetskap ha kommit åt transaktioner, användarnas lösenord och mycket annat. Hur långt du går i att reparera skadan beror som alltid på transaktionernas värde och vilken data systemet hanterar.

Om du har frågor – kontakta oss på support@webway.se

Läs mer: