OpenSSL vaikuttaa kaikkialla
Kaikki internetiä jollakin tapaa käyttävät käyttäjät sekä järjestelmät ovat riippuvaisia OpenSSL:stä. Et ehkä tiedä sitä, mutta OpenSSL mahdollistaa ns. suojatun Transport Layer Securityn (TLS) käytön Linuxissa, Unixissa, Windowsissa ja monissa muissa käyttöjärjestelmissä. Sitä käytetään myös lähes kaikkien suojattujen viestintä- ja verkkosovellusten ja -laitteiden yhteydenpidon suojaamiseen.
Maallikon termein, esimerkiksi HTTPS-suojattu yhteys pankin verkkopalveluun on hyvä esimerkki tästä. Tänä päivänä jokainen tietää, että pankkipalveluiden, kuten myös muidenkin kriittisten järjestelmien kanssa asioidessa tulisi aina tarkistaa selaimen osoiteriviltä, että yhteys on turvallinen.
Historian havinaa – OpenSSL Heartbleed
Varsinkin hieman teknisemmin orientoituneet asiakkaamme saattavat yhä muistaa muutama vuosi sitten ilmi tulleen Heartbleed-haavoittuvuuden. Heartbleed oli kriittinen OpenSSL-haavoittuvuus, joka yllätti monet organisaatiot, ja ongelman korjaaminen vaati merkittäviä ponnisteluja.
Heartbleed sai OpenSSL-ydinryhmän sekä muut avoimen lähdekoodin projektit pohtimaan uudelleen, miten ne käsittelevät tietoturvaongelmia ja kommunikoivat käyttäjiensä kanssa. OpenSSL otti käytännön, jonka mukaan he ilmoittavat tietoturvapäivityksistä noin viikkoa etukäteen.
Niin me TM-Tiedolla, kuten myös asiakkaamme saivat osansa tästä ja päivityksiä ajettiin niin meidän omille, kuin asiakkaidenkin palvelimille kiireen vilkkaa.
Vuonna 2014 mm. Yle uutisoi osan valtion verkkopalveluista olleen alttiina Heartbleed-haavoittuvuudelle. Myös esimerkiksi kaikkien tuntema Wilma-palvelu oli vastaavasti haavoittuvuuden vaikutuksen alaisena Ylen mukaan.
OpenSSL-versiopäivitys 3.0.7
OpenSSL-tiimi on ilmoittanut julkaisevansa 1.11.2022 OpenSSL-versiopäivityksen 3.0.7, joka korjaa kriittisen haavoittuvuuden suositussa avoimen lähdekoodin salauskirjastossa. Haavoittuvuus koskee vain 3.x.x -versioita, joten OpenSSL-versiota 3.0 edeltävien versioiden käyttäjät ovat turvassa.
Ryhmän oman riskiluokituksen mukaan OpenSSL:n kriittiset haavoittuvuudet ovat sellaisia, jotka vaikuttavat yleisiin järjestelmiin ja ovat todennäköisesti hyödynnettävissä haitallisten tahojen toimesta.
”Esimerkkejä ovat palvelimen muistin sisällön merkittävä paljastaminen (mahdollisesti esimerkiksi käyttäjätietojen paljastaminen), haavoittuvuudet, joita voidaan helposti hyödyntää etänä palvelimen yksityisten avainten vaarantamiseksi, tai joissa koodin etäsuorittamisen katsotaan olevan todennäköistä yleisissä tilanteissa.”
Nähtäväksi jää, että toistuuko Hearbleedin kaltainen, erittäin vakava tilanne, vai selvitäänkö tällä kertaa vähemmällä.
Merkittävä määrä haavoittuvia järjestelmiä
Tulevan julkaisun tietoturvapäivitys koskee väistämättä merkittävää määrää järjestelmiä niin kuluttaja, kuin yrityspuolella.
Windows
OpenSSL ei ole oletuksena asennettuna työasema- tai palvelinkäyttöjärjestelmäversioissa. Useat ohjelmistot ovat joka tapauksessa riippuvaisia OpenSSL:stä, jonka johdosta on syytä tarkistaa jokainen järjestelmä haavoittuvan version varalta.
macOS
macOS käyttää oletuksena LibreSSL:ää, mutta kuten Windowsin tapauksessa, useat ohjelmistot ovat riippuvaisia OpenSSL:stä ja tästä johtuen myös Macien osalta on tärkeä tarkistaa jokainen järjestelmä. Erityisesti ohjelmistokehittäjien käyttämät pakettienhallintajärjestelmät Homebrew ja MacPorts käyttävät OpenSSL:ää ja ovat lähtökohtaisesti tämän haavoittuvuuden piirissä.
Linux
Useimmat Linux-jakelut käyttävät oletuksena OpenSSL:ää ja ovatkin kärkipäässä yrityksemme suorittamia tarkistuksia lähipäivien aikana. Sekä TM-Tieto, että asiakkaamme ovat riippuvaisia Linux-palvelimista varsin suuressa mittakaavassa ja olemmekin aloittaneet versiotarkistukset välittömästi jo viikonlopun aikana.
Myös merkittävä määrä verkkolaitteita käyttää Linuxia käyttöjärjestelmänään ja aiemman Heatrbleed-haavoittuvuuden yhteydessä ainakin osa Ciscon, Fortinetin sekä Juniperin verkkolaitteista tuli päivittää kiireellisesti.
Alla yleisimpien Linux-jakelujen oletuksena käyttämät OpenSSL-versiot:
Linux-jakelu | OpenSSL-versio | Tilanne |
---|---|---|
CentOS Linux release 7.9 | 1.0.2 | |
CentOS 8 | 1.1.1 | |
CentOS Stream 9 | 3.0.1 | |
Debian 11 (bullseye) | 1.1.1 | |
Eneavour 2022.09.10 | 1.1.1 | |
Fedora 34 | 1.1.1 | |
Fedora 35 | 1.1.1 | |
Fedora 36 | 3.0.5 | |
Fedora Rawhide | 3.0.5 | |
Kali 2022.3 | 3.0.5 | |
Linux Mint 21 Vanessa | 3.0.2 | |
Mageia 7 | 1.1.1 | |
Mageia 8 | 1.1.1 | |
Mageia Cauldron | 3.0.5 | |
OpenMandriva 4.3 | 3.0.3 | |
OpenMandriva Cooker | 3.0.6 | |
OPNsense 22 | 1.1.1 | |
OpenSuSE Leap 15.2 | 1.1.1 | |
OpenSuSE Leap 15.3 | 1.1.1 | |
OpenSuSE Leap 15.4 | 1.1.1 | |
Proxmox 6 | 1.1.1 | |
Redhat ES 9 | 3.0 | |
Rocky Linux release 9.0 (Blue Onyx) | 3.0.1 | |
Slackware 14 | 1.0.1 | |
Ubuntu 20.04 | 1.1.1 | |
Ubuntu 22.04 | 3.0.2 |