Indhold
En britisk regeringsinstitution har fundet tre huller i OpenSSL. En rettet version er udsendt.
OpenSSL er en populær open source implementering af transport-protokollen SSL, som krypterer de transporterede data.
Ifølge nyhedstjenesten The Register findes hullet i alle version af OpenSSL til og med versionerne 0.9.6j og 0.9.7b. To af hullerne kan få softwaren til at gå ned, mens en tredje sårbarhed giver potentiel mulighed for at overtage kontrollen med computeren. Denne mulighed er dog ikke demonstreret, siger OpenSSL Project, som står bag koden.
Sårbarheden findes i den måde OpenSSL håndterer et format med navnet ASN.1, som er en standard for at indkode og transmittere komplekse datastrukturer. ASN.1 er en byggesten i de certifikater, som SSL-protokollen benytter.
Sidste år viste forskere fra den finske Oulu-universitet, at ved at sende forkert udformede data i ASN.1-formatet, kunne det lade sig gøre at knække adskillige software-systemer, som håndterer ASN.1.
Disse sårbarheder bekymrede især amerikanske regeringsmyndigheder, da ASN.1 benyttes i forbindelse med håndtering af kritiske infrastrukturelle systemer så som telefon-netværk, kreditkort-verifikation samt de såkaldte SCADA-systemer, som benyttes til styring af elektriske forsyningsnetværk.
Den britiske regeringsinstitution National Infrastructure Security Coordination Center har på baggrund heraf udviklet en test-suite, som kan finde huller i ASN.1-implementeringer. Det var denne pakke, som fandt de tre huller i OpenSSL.