Schwere OpenSSL-Schwachstelle bei TLS Heartbeat Extension (CVE-2014-0160)

Gepostet von hone und zzak am 10. Apr 2014

Es gibt eine schwere Schwachstelle in der Implementierung der TLS/DTLS (Transport Layer Security Protocols) Heartbeat Extension (RFC6520) durch OpenSSL. Dies ist eine schwerwiegende Schwachstelle, der die CVE-Nummer CVE-2014-0160 zugewiesen wurde.

Die Ausnutzung kann zur Offenlegung von Speicherinhalten vom Server zum Client und vom Client zum Server führen. Ein Angreifer kann sensible Daten aus dem Speicher aus der Ferne abrufen, einschließlich, aber nicht beschränkt auf geheime Schlüssel, die für die SSL-Verschlüsselung verwendet werden, und Authentifizierungs-Token.

Weitere Informationen zu den Angriffen finden Sie unter heartbleed.com.

Wie ist Ruby betroffen?

Ruby ist betroffen, wenn es statisch gegen eine anfällige Version von OpenSSL über die Standardbibliothek-OpenSSL-C-Erweiterung kompiliert wurde.

OpenSSL-Versionen 1.0.1 bis einschließlich 1.0.1f sind anfällig für diesen Angriff. Um zu überprüfen, mit welcher Version der OpenSSL-Bibliothek Ruby verknüpft ist, verwenden Sie das Folgende

ruby -v -ropenssl -rfiddle -e 'puts Fiddle::Function.new(Fiddle.dlopen(nil)["SSLeay_version"], [Fiddle::TYPE_INT], Fiddle::TYPE_VOIDP).call(0)'

Um die mit Ruby installierte Version von OpenSSL zu überprüfen, verwenden Sie die folgende

ruby -ropenssl -e 'puts OpenSSL::OPENSSL_VERSION'

Sie können überprüfen, ob Ihre Client-Software oder ein laufender Dienst anfällig ist, indem Sie das Skript von emboss verwenden.

Lösungen

Um auf die neueste Version von OpenSSL, Version 1.0.1g oder neuer, zu aktualisieren, sollten Sie sich bei Ihrem aktuellen Betriebssystem-Paketmanager erkundigen, um sicherzustellen, dass dieser ein aktuelles OpenSSL bereitstellt. Möglicherweise müssen Sie sich an Ihren Betriebssystem-Distributor wenden, um zu überprüfen, ob dessen OpenSSL-Version gepatcht ist, unabhängig von der verfügbaren Versionsnummer.

Wenn ein Upgrade keine Option ist, kompilieren Sie ein gepatchtes OpenSSL mit der Option -DOPENSSL_NO_HEARTBEATS zur Build-Zeit neu.

Mit einem aktualisierten OpenSSL wird empfohlen, Ruby neu zu kompilieren, um sicherzustellen, dass keine Verknüpfungen zu einer anfälligen OpenSSL-Version bestehen.

Dies bedeutet, dass alle Werkzeuge zur Erstellung von Ruby, wie RVM oder ruby-build, aktualisiert werden müssen. Wenn Sie Ruby selbst erstellen, verwenden Sie zur Kompilierzeit die Option --with-openssl-dir, um ein Verzeichnis mit einer aktualisierten OpenSSL-Installation zu verknüpfen.

$ ./configure --with-openssl-dir=/path/to/openssl
$ make
$ make install

Nach dem Upgrade von OpenSSL und Ruby ist es wichtig, alle Programme neu zu starten, die die anfällige Version verwenden.

Viele Betriebssystem-Distributionen stellen bereits (oder werden bald) gepatchte Versionen und neu kompilierte Pakete für Bibliotheken bereit, die für diesen Angriff anfällig sind. Es ist wichtig, Ihren Betriebssystem-Distributor zu beobachten, um sicherzustellen, dass Sie sicher bleiben.