image

Oracle geeft Heartbleed-bug een 5 op een schaal van 10

zondag 20 april 2014, 09:08 door Redactie, 5 reacties

Oracle heeft klanten gewaarschuwd voor de Heartbleed-bug in OpenSSL waardoor ook Oracle-producten risico lopen. De impact van het lek wordt echter met een magere 5 op een schaal van 10 beoordeeld. Het softwarebedrijf gebruikt het Common Vulnerability Scoring System om cijfers aan lekken toe te kennen.

Op deze manier weten beheerders welke kwetsbaarheden de hoogste prioriteit moeten krijgen. De Heartbleed-bug in OpenSSL zorgt ervoor dat aanvallers informatie uit het geheugen van een webserver kunnen stelen, zoals wachtwoorden en sessiecookies, maar ook de privésleutel van SSL-certificaten. De kwetsbaarheid wordt daarbij al 'in het wild' door aanvallers gebruikt om systemen aan te vallen.

Oracle erkent dat het lage cijfer van de Heartbleed-bug de problemen aangeeft om over één enkel systeem te beschikken dat alle soorten kwetsbaarheden kan beoordelen. "Het is eenvoudig om het lek zonder authenticatie over het internet gebruiken. Echter, een succesvolle exploit kan alleen de vertrouwelijkheid van een deel van de gegevens op het aangevallen systeem compromitteren", zegt Eric Maurice van Oracle.

Het zijn dan ook de verdere gevolgen die de grootste impact kunnen hebben. Een aanvaller zou privégegevens kunnen ontsleutelen die maanden of jaren geleden verstuurd zijn, laat Maurice verder weten. "Als gevolg veroorzaakt deze kwetsbaarheid grote risico's, waaronder ongeautoriseerde systeemtoegang met volledige gebruikersrechten." Oracle adviseert in de advisory dat beheerders de updates die de problemen verhelpen, zodra die beschikbaar zijn, meteen installeren.

Reacties (5)
20-04-2014, 09:59 door Anoniem
Dus alleen de gevolgen zijn ernstig, en niet het lek zelf... Het lekken van de private key die bij een certificaat hoort, is zelf dus niet zo ernstig... Waar zit de logica hier?
Als er ooit een lek een 10 moet krijgen op die schaal, is dit het wel. Daar is de hele wereld het wel over eens. Alléen Oracle denkt er dus anders over. Dat zegt waarschijnlijk voldoende over het bedrijf.
Nooit meer Oracle producten aanschaffen, zou ik zeggen. Dat is een te groot security risico voor je eigen bedrijf.
20-04-2014, 11:44 door Anoniem
Door Anoniem: Dus alleen de gevolgen zijn ernstig, en niet het lek zelf... Het lekken van de private key die bij een certificaat hoort, is zelf dus niet zo ernstig... Waar zit de logica hier?
Als er ooit een lek een 10 moet krijgen op die schaal, is dit het wel. Daar is de hele wereld het wel over eens. Alléen Oracle denkt er dus anders over. Dat zegt waarschijnlijk voldoende over het bedrijf.
Nooit meer Oracle producten aanschaffen, zou ik zeggen. Dat is een te groot security risico voor je eigen bedrijf.

Niet alleen Oracle denkt hier zo over, ook de officiele CVE op NIST (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160) kreeg een score van 5.3. Volgens de schaal die vulnerabilities rate klopt dit ook. De confidentialiteit en integriteit van de service kan misschien gebroken worden, maar de availability niet.

De schaal is niet fijlloos. Daarbuiten, ja het klopt dat je private keys kan bekomen, maar laat ons eerlijk zijn, je moet nog steeds succesvol een MiTM doen om er gebruik van te maken. Tenzij je een overheidsinstelling bent die stukken van het internet beheerd is dit onmogelijk om op een grote schaal te doen.
20-04-2014, 12:44 door Anoniem
Door Anoniem: Dus alleen de gevolgen zijn ernstig, en niet het lek zelf... Het lekken van de private key die bij een certificaat hoort, is zelf dus niet zo ernstig... Waar zit de logica hier?
Als er ooit een lek een 10 moet krijgen op die schaal, is dit het wel. Daar is de hele wereld het wel over eens. Alléen Oracle denkt er dus anders over. Dat zegt waarschijnlijk voldoende over het bedrijf.
Nooit meer Oracle producten aanschaffen, zou ik zeggen. Dat is een te groot security risico voor je eigen bedrijf.
Berichtgeving in de reguliere media staat niet gelijk aan het dreigingsniveau van een kwetsbaarheid ;)

Wel geeft de waarde die Oracle hanteert iets aan over de impact van de kwetsbaarheden in hun eigen software, die regelmatig met een "10" worden ingeschaald.
20-04-2014, 15:42 door Wim ten Brink
Een aanvaller zou privégegevens kunnen ontsleutelen die maanden of jaren geleden verstuurd zijn, laat Maurice verder weten.
Maanden? Dat lijkt mij wel zeer overdreven. Wat veel mensen in deze discussie vergeten is dat Heartbleed tot maximaal 64 KB kan lekken uit het geheugen! Dat betekent dat die gegevens al die tijd in het geheugen moeten hebben staan binnen hetzelfde proces waarin OpenSSL draait en dan ook nog eens net voorbij het adres moeten staan waar OpenSSL het codewoord in het geheugen heeft geplaatst.
Een server die zeer druk is, zal dan ook continu het betreffende geheugengebied "verversen" met nieuwe data, dus de mogelijkheid dat er data van een maand geleden in staat is dan al erg klein. Een server met weinig verkeer zou misschien jaren aan data kunnen bevatten, mits deze al jaren draait zonder enige updates of herstart. (Het herstarten van het proces is al voldoende!) Ook dat is onwaarschijnlijk.
De angst om het lekken van een private key is wel reeel, omdat OpenSSL deze nodig heeft. Deze staat dan ook in het geheugen. Of het voor of na het geheugenadres staat vanaf waar het lek plaatsvindt is dan maar de vraag. Het geheugen is in principe virtueel, dus lineair. Heartbleed lekt maximaal 64 KB aan data vanaf een bepaald punt in het geheugen en dat is het risico-gebied. Dus de kans is aanwezig, maar realistisch gezien vrij klein. Je zult behoorlijk wat pogingen moeten doen voordat je een key te pakken kunt krijgen. (Maar hackers zijn er wel toe bereid, dus een serieuze hacker gaat gewoon door tot hij raak schiet.)
Daarnaast moet je alle binnenkomende data ook nog omzetten naar informatie. Het is immers een ruwe geheugendump vol binaire data. Leesbare tekst zoals accountnamen, wachtwoorden en email adressen zijn wel herkenbaar. (Zeker als er geen speciale tekens in het wachtwoord zijn gebruikt!) Een binaire private key is echter lastiger te herkennen, hoewel het natuurlijk helpt als je van tevoren de key al kent en in ieder datablok gaat zoeken naar die key, zoals sommige onderzoekers doen om aan te tonen hoe schadelijk het is.
-
Het allerergste vind ik nog dat enkele bedrijven die onder Microsoft IIS draaien ook hebben besloten om aan de paniek mee te doen, terwijl zij geeneens OpenSSL gebruiken! Een Oracle database (of MySQL) achter een IIS webserver is gewoon nog steeds veilig. De risico-gebieden zijn alleen die delen van servers die blootgesteld zijn aan de "boze buitenwereld" en die gebruik maken van OpenSSL.
20-04-2014, 16:23 door Anoniem
@Wim: De private keys zullen meestal niet 'los' in het geheugen staan, maar in een X509 certificaat 'formaat' en zijn zodanig weldegelijk hardstikke makkelijk te herkennen. Daarnaast kan 'maanden oude data' natuurlijk prima in geheugen staan, de leeftijd van de entry-date zegt niets of de last-processed date. En hoe hoger de doorvoersnelheid van de data hoe meer er dus per uur gelekt wordt; een idle server lekt minder data dan een drukke server. Als je toch al MitM kan uitvoeren, maakt dat echt niets meer uit.

En mbt 'alleen de external facing servers' patchen: Naief ! Iets lagere prio, ja, maar niets dom is echt struisvogel politiek; die al ín het wild' IS afgestraft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.