Článek
Šifrovací nástroj OpenSSL je hojně používaný po celém světě. A právě proto věnuje odborná veřejnost velkou pozornost nedávnému oznámení, že v OpenSSL verze 3 byla nalezena „kritická chyba“. Jde totiž o teprve druhou kritickou chybu v historii tohoto open source projektu.
Dobrá zpráva je, že oprava už je na cestě: „Tým projektu OpenSSL by rád oznámil nadcházející vydání OpenSSL verze 3.0.7,“ uvedl Martin Kočí z OpenSSL.org. „Tato verze bude k dispozici v úterý 1. listopadu 2022 mezi 13. a 17. hodinou UTC (14:00 až 18:00 středoevropského zimního času, pozn. red.). OpenSSL 3.0.7 je vydání opravující bezpečnostní chyby. Nejvyšší závažnost problému opraveného v tomto vydání je KRITICKÁ.“
Problém je, že jakmile tým vydá opravu, bude jasné, o jakou jde chybu a pro případné útočníky bude možná snadné vydedukovat, jak ji zneužít. Proto je pro správce systémů zásadní co nejrychleji po zveřejnění opravy tuto záplatu nainstalovat, pokud používají verzi, která se zranitelnost týká. Jinak se vystavují riziku, že chybu zneužijí útočníci. Nastane tak závod s časem. Problém to může představovat například pro menší projekty, o které se správce nestará intenzivně.
Pozor musí dát správci sítě
Co to znamená pro uživatele? Pokud neprovozujete vlastní server nebo nejste zodpovědní za správu nějakého softwarového projektu, zřejmě to pro vás neznamená vůbec nic. Nemusíte nic stahovat ani instalovat. I tak se ale hodí si připomenout, na jakých základech vlastně moderní informační dálnice stojí.
Velká část on-line komunikace totiž využívá výsledky práce celé řady týmů, projekty jsou často postavené na desítkách různých softwarových nástrojů a knihoven.
Opensourcová knihovna OpenSSL je součástí velké části internetových nástrojů. Používá se k šifrování internetové komunikace, a podílí se například na zabezpečení většiny webových stránek skrze zabezpečený protokol HTTPS.
Tato zranitelnost se týká pouze projektů, které mají implementovanou relativně novou verzi OpenSSL (3.0 a vyšší). Neměla by se tak opakovat situace z roku 2014, kdy byla v kryptografické knihovně OpenSSL rovněž odhalena kritická zranitelnost zvaná Heartbleed.
„Jaké riziko hrozí? Na podrobnosti o zranitelnosti ještě čekáme, ale mohou být ohrožené soukromé klíče nebo informace o uživatelích,“ varuje Peter Kovalčík, regionální ředitel z kyberbezpečnostní společnosti Check Point Software Technologies. „V obou případech by to byla tvrdá rána pro samotný základ šifrovaných relací, které všichni využíváme u mnoha služeb.“
„Očekáváme ale, že se to dotkne i běžného používání internetu,“ spekuluje Kovalčík. Doporučuje firmám prověřit, kde se v rámci organizace používá knihovna OpenSSL. To lze provést například pomocí softwarových nástrojů Bill of Materials.