Movatterモバイル変換

[0]ホーム
URL:

Spring til indhold
WikipediaDen frie encyklopædi
Søg

OpenSSL

Fra Wikipedia, den frie encyklopædi
OpenSSL
Udvikler(e)The OpenSSL Project
Stabil version3.3.2(2024-09-03)
Skrevet iC,assembler
OperativsystemMulti-platform
PlatformMulti-platform
TypeSikkerhedsprogrambibliotek
LicensApache-licens 1.0 og 4-klausulersBSD-licens
Hjemmesidehttps://www.openssl.org

OpenSSL er enopen-source implementering afSSL- ogTLS-protokollerne. Kernefunktionaliteten er skrevet iC, og implementerer basalekryptografiske funktioner og stiller forskellige hjælpefunktioner til rådighed.Der eksisterer "wrappere" der muliggør brug af OpenSSL, i et hav af andre programmeringssprog.

Der findes versioner til de flesteUnix-lignende operativsystemer (herunderSolaris,Linux,Mac OS X og de forskellige open sourceBSD operativsystemer),OpenVMS ogMicrosoft Windows. IBM leverer en porteret version tilSystem i (OS/400). OpenSSL er baseret påSSLeay af Eric A. Young og Tim Hudson, udviklingen af denne stoppede officielt omkring december 1998, da Young og Hudson begge begyndte at arbejde forRSA Security.

Licenser

[redigér |rediger kildetekst]

OpenSSL har en "dobbelt-licens", under OpenSSL-licens og SSLeay-licens.[1] OpenSSL-licensen er enApache-licens 1.0 og SSLeay-licensen er en 4-klausulsBSD-licens. Den normale betydning af betegnelsendobbelt-licens er at brugeren frit kan vælge den licens han ønsker at anvende. Men OpenSSL dokumentationen bruger betegnelsendobbelt-licens i betydningen at begge licenser gælder.

Da OpenSSL-licensen er enApache-licens 1.0, og ikke en Apache-licens 2.0, kræver den at sætningen 'This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/) (Webside ikke længere tilgængelig) optræder i marketingmateriale og i enhver distribution (Afsnit 3 og 6 i OpenSSL-licensen). Pga. denne begrænsning, er OpenSSL-licensen og Apache-licensen inkompatible med GPLen.[2]Nogle GPL udviklere har tilføjet enOpenSSL undtagelse til deres licenser alene for at tillade at OpenSSL kan blive brugt med deres system. GNUWget ogclimm bruger begge sådanne undtagelser.[3][4] Nogle pakker (somDeluge) har specifikt modificeret GPL-licensen ved at tilføje et ekstra afsnit i starten af licensen der dokumenterer undtagelsen.[5] Andre pakker bruger den LGPL licenseredeGnuTLS som udfører den samme opgave.

Velkendte sårbarheder

[redigér |rediger kildetekst]

Sårbarhed i Debian implementeringen

[redigér |rediger kildetekst]

For at undgå visning af en fejl iValgrind analyseværktøjet havde en vedligeholder afDebian distributionen anvendt enpatch i Debian implementeringen af OpenSSL pakken, som utilsigtet kom til at bryde denstilfældighedsgenerator. Den defekte version blev inkluderet i Debian udgaven fra 17. september 2006 (version 0.9.8c-1). Enhver nøgle dannet med den defekte tilfældighedsgenerator, og data krypteret med sådan en nøgle, blev kompromitteret. Fejlen blev rapporteret af Debian den 13. maj 2008.[6]

I Debian 4.0 distributionen (etch), blev disse problemer løst i version 0.9.8c-4etch3 og for Debian 5.0 distributionen (lenny), blev disse problemer læst i version 0.9.8g-9.[6]

Heartbleed-bug

[redigér |rediger kildetekst]
Hovedartikel:Heartbleed-bug.
Logo for Heartbleed fejlen

Den 7. april 2014, blev det annonceret at OpenSSL 1.0.2-beta samt alle versioner af OpenSSL i 1.0.1 serien, bortset fra 1.0.1g, havde en alvorlig hukommelseshåndteringsfejl i deres implementering afTLS Heartbeat udvidelsen.[7] Denne defekt kunne blive brugt til at afsløre op til 64 kilobyte af applikationshukommelsen med hvert enesteheartbeat.[8] DensCVE nummer er CVE-2014-0160.[9]

Sårbarheden har eksisteret siden 31. december 2011, og den sårbare kode er blevet meget udbredt med udgivelsen af OpenSSL version 1.0.1 den 14. marts 2012.[10][11] Ved at læse hukommelsen på webserveren, kan angribere få adgang til følsomme data, og dermed kompromittere serverens og dens brugeres sikkerhed. Potentielt sårbare sikre data omfatter serverensprivate master key,[10] hvilket gør det muligt for angribere at bryde krypteringen af tidligere aflyttet kommunikation med serveren og dermed implementere etman-in-the-middle angreb.

Sårbarheden kan måske også afsløre ikke-krypterede dele af brugeres følsomme forespørgsler og svar, herundercookies og kodeord, hvilket måske kan gøre det muligt for angribere atovertage identiten af en anden bruger af tjenesten.[12] Ved afsløringen blev det vurderet at ca. 17% eller en halv million af Internettets sikrewebserverere certificeret afcertifikatudstedere var følsomme over for angrebet.[13][14][15]

Der er etableret en dedikeret websideThe Heartbleed BugArkiveret 7. april 2014 hosWayback Machine der giver et overblik over fejlen samt anvisninger på tiltag.[16] Det danske teknologisiteVersion2 har også en oversigt.[17]

Kilder

[redigér |rediger kildetekst]
  1. ^"OpenSSL: Source, License". openssl.org.
  2. ^"Licenses – Free Software Foundation". fsf.org.
  3. ^"WGET 1.10.2 for Windows (win32)". users.ugent.be. Arkiveret fraoriginalen 2. januar 2008. Hentet 9. april 2014.
  4. ^"Releases of source and binaries". climm.org. Arkiveret fraoriginalen 12. februar 2011. Hentet2010-11-30.
  5. ^"Deluge LICENSE file". deluge-torrent.org. Hentet2013-01-24.
  6. ^ab"DSA-1571-1 openssl – predictable random number generator".Debian. 2008-05-13. Hentet2012-12-03.
  7. ^Seggelmann, R.; et al. (februar 2012)."Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension".RFC 6520. Internet Engineering Task Force (IETF). Hentet2014-04-08.{{cite web}}:Eksplicit brug af et al. i:|author= (hjælp);Ekstern henvisning i|work= (hjælp)
  8. ^OpenSSL (2014-04-07)."TSL heartbeat read overrun (CVE-2014-0160)". Arkiveret fraoriginalen 8. april 2014. Hentet2014-04-08.
  9. ^CVE - CVE-2014-0160
  10. ^abCodenomicon Ltd (2014-04-08)."Heartbleed Bug". Arkiveret fraoriginalen 7. april 2014. Hentet2014-04-08.
  11. ^Goodin, Dan (2014-04-08)."Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping".Ars Technica. Hentet2014-04-08.
  12. ^"Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014. Arkiveret fraoriginalen 8. april 2014. Hentet 9. april 2014.
  13. ^Mutton, Paul (2014-04-08)."Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd. Hentet2014-04-08.
  14. ^Rühne, Frederik Høj (2014-04-10)."Hul i OpenSSL: En halv million hjemmesider er sikkerhedsudsat". Version2. Hentet2014-04-10.
  15. ^Møllerhøj, Jakob (2014-04-09)."Ekspert om omfattende SSL-sårbarhed: Derfor skal du skifte alle dine kodeord". Version2. Hentet2014-04-10.
  16. ^"The Heartbleed Bug". 2014-04-07. Arkiveret fraoriginalen 7. april 2014. Hentet2014-04-09.
  17. ^Kramshøj, Henrik (2014-04-08)."Opdater OpenSSL - og dit OS nu". Version2. Hentet2014-04-10.

Eksterne henvisninger

[redigér |rediger kildetekst]
SoftwareSpire
Denne artikel omsoftware ogprogrammering er enspire som bør udbygges. Du er velkommen til athjælpe Wikipedia ved atudvide den.
Hentet fra "https://da.wikipedia.org/w/index.php?title=OpenSSL&oldid=11852664"
Kategorier:
Skjulte kategorier:
[8]ページ先頭
©2009-2025 Movatter.jp