Skip to main content
Kartoitamme paraikaa tilannetta tämän vakavan haavoittuvuuden suhteen. Päivitämme lisätietoja tähän juttuun sitä mukaa kun tilannekuva selkenee.

OpenSSL vaikuttaa kaikkialla

Kaikki internetiä jollakin tapaa käyttävät käyttäjät sekä järjestelmät ovat riippuvaisia ​​OpenSSL:stä. Et ehkä tiedä sitä, mutta OpenSSL mahdollistaa ns. suojatun Transport Layer Securityn (TLS) käytön Linuxissa, Unixissa, Windowsissa ja monissa muissa käyttöjärjestelmissä. Sitä käytetään myös lähes kaikkien suojattujen viestintä- ja verkkosovellusten ja -laitteiden yhteydenpidon suojaamiseen.

Maallikon termein, esimerkiksi HTTPS-suojattu yhteys pankin verkkopalveluun on hyvä esimerkki tästä. Tänä päivänä jokainen tietää, että pankkipalveluiden, kuten myös muidenkin kriittisten järjestelmien kanssa asioidessa tulisi aina tarkistaa selaimen osoiteriviltä, että yhteys on turvallinen.

Historian havinaa – OpenSSL Heartbleed

Varsinkin hieman teknisemmin orientoituneet asiakkaamme saattavat yhä muistaa muutama vuosi sitten ilmi tulleen Heartbleed-haavoittuvuuden. Heartbleed oli kriittinen OpenSSL-haavoittuvuus, joka yllätti monet organisaatiot, ja ongelman korjaaminen vaati merkittäviä ponnisteluja.

Heartbleed sai OpenSSL-ydinryhmän sekä muut avoimen lähdekoodin projektit pohtimaan uudelleen, miten ne käsittelevät tietoturvaongelmia ja kommunikoivat käyttäjiensä kanssa. OpenSSL otti käytännön, jonka mukaan he ilmoittavat tietoturvapäivityksistä noin viikkoa etukäteen.

Niin me TM-Tiedolla, kuten myös asiakkaamme saivat osansa tästä ja päivityksiä ajettiin niin meidän omille, kuin asiakkaidenkin palvelimille kiireen vilkkaa.

Vuonna 2014 mm. Yle uutisoi osan valtion verkkopalveluista olleen alttiina Heartbleed-haavoittuvuudelle. Myös esimerkiksi kaikkien tuntema Wilma-palvelu oli vastaavasti haavoittuvuuden vaikutuksen alaisena Ylen mukaan.

OpenSSL-versiopäivitys 3.0.7

OpenSSL-tiimi on ilmoittanut julkaisevansa 1.11.2022 OpenSSL-versiopäivityksen 3.0.7, joka korjaa kriittisen haavoittuvuuden suositussa avoimen lähdekoodin salauskirjastossa. Haavoittuvuus koskee vain 3.x.x -versioita, joten OpenSSL-versiota 3.0 edeltävien versioiden käyttäjät ovat turvassa.

Ryhmän oman riskiluokituksen mukaan OpenSSL:n kriittiset haavoittuvuudet ovat sellaisia, jotka vaikuttavat yleisiin järjestelmiin ja ovat todennäköisesti hyödynnettävissä haitallisten tahojen toimesta.

”Esimerkkejä ovat palvelimen muistin sisällön merkittävä paljastaminen (mahdollisesti esimerkiksi käyttäjätietojen paljastaminen), haavoittuvuudet, joita voidaan helposti hyödyntää etänä palvelimen yksityisten avainten vaarantamiseksi, tai joissa koodin etäsuorittamisen katsotaan olevan todennäköistä yleisissä tilanteissa.”

Nähtäväksi jää, että toistuuko Hearbleedin kaltainen, erittäin vakava tilanne, vai selvitäänkö tällä kertaa vähemmällä.

Merkittävä määrä haavoittuvia järjestelmiä

Tulevan julkaisun tietoturvapäivitys koskee väistämättä merkittävää määrää järjestelmiä niin kuluttaja, kuin yrityspuolella.

OpenSSL on osa useita käyttöjärjestelmiä ja kartoitamme paraikaa sekä yrityksemme omia, että asiakkaidemme käytössä olevia OpenSSL-versioita. Olemme yhteydessä ylläpitoasiakkaisiimme, joiden ympäristöä haavoittuvuus mahdollisesti koskee.

Windows

OpenSSL ei ole oletuksena asennettuna työasema- tai palvelinkäyttöjärjestelmäversioissa. Useat ohjelmistot ovat joka tapauksessa riippuvaisia OpenSSL:stä, jonka johdosta on syytä tarkistaa jokainen järjestelmä haavoittuvan version varalta.

macOS

macOS käyttää oletuksena LibreSSL:ää, mutta kuten Windowsin tapauksessa, useat ohjelmistot ovat riippuvaisia OpenSSL:stä ja tästä johtuen myös Macien osalta on tärkeä tarkistaa jokainen järjestelmä. Erityisesti ohjelmistokehittäjien käyttämät pakettienhallintajärjestelmät Homebrew ja MacPorts käyttävät OpenSSL:ää ja ovat lähtökohtaisesti tämän haavoittuvuuden piirissä.

Linux

Useimmat Linux-jakelut käyttävät oletuksena OpenSSL:ää ja ovatkin kärkipäässä yrityksemme suorittamia tarkistuksia lähipäivien aikana. Sekä TM-Tieto, että asiakkaamme ovat riippuvaisia Linux-palvelimista varsin suuressa mittakaavassa ja olemmekin aloittaneet versiotarkistukset välittömästi jo viikonlopun aikana.

Myös merkittävä määrä verkkolaitteita käyttää Linuxia käyttöjärjestelmänään ja aiemman Heatrbleed-haavoittuvuuden yhteydessä ainakin osa Ciscon, Fortinetin sekä Juniperin verkkolaitteista tuli päivittää kiireellisesti.

Alla yleisimpien Linux-jakelujen oletuksena käyttämät OpenSSL-versiot:

Linux-jakeluOpenSSL-versioTilanne
CentOS Linux release 7.91.0.2
CentOS 81.1.1
CentOS Stream 93.0.1
Debian 11 (bullseye)1.1.1
Eneavour 2022.09.101.1.1
Fedora 341.1.1
Fedora 351.1.1
Fedora 363.0.5
Fedora Rawhide3.0.5
Kali 2022.33.0.5
Linux Mint 21 Vanessa3.0.2
Mageia 71.1.1
Mageia 81.1.1
Mageia Cauldron3.0.5
OpenMandriva 4.33.0.3
OpenMandriva Cooker3.0.6
OPNsense 221.1.1
OpenSuSE Leap 15.21.1.1
OpenSuSE Leap 15.31.1.1
OpenSuSE Leap 15.41.1.1
Proxmox 61.1.1
Redhat ES 93.0
Rocky Linux release 9.0 (Blue Onyx)3.0.1
Slackware 141.0.1
Ubuntu 20.041.1.1
Ubuntu 22.043.0.2
Mikäli et ole ylläpitoasiakkaamme, mutta haluat tilannekartoituksen Ota yhteyttä