image

Systeembeheerders installeren Heartbleed op servers

vrijdag 9 mei 2014, 10:38 door Redactie, 9 reacties

Hoewel er nog altijd duizenden servers kwetsbaar voor de Heartbleed-bug in OpenSSL zijn, blijkt dat sommige servers die eerst niet kwetsbaar waren dat nu wel zijn doordat systeembeheerders een kwetsbare versie van OpenSSL hebben geïnstalleerd.

Tot die opmerkelijke ontdekking kwam Opera-ontwikkelaar Yngve Pettersen. Pettersen voerde een scan van 500.000 verschillende servers uit en ontdekte dat er nog 2,33% kwetsbaar voor de Heartbleed-bug zijn. Via deze bug kan een aanvaller de inhoud van het geheugen stelen, waarin bijvoorbeeld wachtwoorden en sessiecookies zijn te vinden, en in bepaalde gevallen ook de privésleutels van SSL-certificaten.

Systeembeheerders

Tijdens de laatste scan zag Pettersen dat 20% van de servers die op dit moment kwetsbaar zijn, en 32% van de kwetsbare BigIP-servers, dat eerst niet waren. "Dit houdt in dat duizenden websites die het Heartbleed-probleem eerst niet hadden, dat nu wel hebben!", zo stelt de Opera-ontwikkelaar. Een mogelijke reden is dat vanwege alle media-aandacht bezorgde systeembeheerders dachten dat hun systeem kwetsbaar was.

Dit gecombineerd met de druk dat er "iets" gedaan moest worden, heeft ervoor gezorgd dat de systeembeheerders op servers die niet kwetsbaar waren een OpenSSL-versie installeerden waarin de Heartbleed-bug juist wel aanwezig was. Hierdoor zullen deze servers en de websites die erop draaien weer gepatcht moeten worden, wat geld kost dat eigenlijk bespaard had kunnen worden.

Aan de hand van zijn eigen cijfers maakt Pettersen een grove berekening die laat zien dat het onnodige patchwerk meer dan 12 miljoen dollar kan kosten. Alle media-aandacht is dan ook tot op zekere hoogte contraproductief geworden, gaat Pettersen verder. Hij adviseert de pers dan ook om zich op de feiten te baseren en geen paniek te verspreiden.

Reacties (9)
09-05-2014, 10:56 door Anoniem
@sommige servers die eerst niet kwetsbaar waren dat nu wel zijn doordat systeembeheerders een kwetsbare versie van OpenSSL hebben geïnstalleerd.

Dan heb je als systeembeheerder toch een complete boterberg op je hoofd!
09-05-2014, 11:33 door Briolet
Dat zijn dan waarschijnlijk onbelangrijke websites. In elk geval worden ze beheerd door 3e rangs systeembeheerders. Vanaf het bekend worden van de bug werd er al bij vermeld welke versies de bug bevatten.
09-05-2014, 11:42 door Anoniem
Tja er zijn genoeg sysadmins die het werk niet serieusnemen!

Maar @Anoniem:
Hebben ze nu ook een melkplas en een wijzee op hun hoofd??
09-05-2014, 12:02 door [Account Verwijderd] - Bijgewerkt: 09-05-2014, 12:03
[Verwijderd]
09-05-2014, 12:27 door Anoniem
Door Peter V.:
Door Briolet: Dat zijn dan waarschijnlijk onbelangrijke websites. In elk geval worden ze beheerd door 3e rangs systeembeheerders. Vanaf het bekend worden van de bug werd er al bij vermeld welke versies de bug bevatten.
Zulke fouten maken amateurs niet eens. Dus ik vermoed dat we eerder te maken hebben met incapabel personeel.

En wat als die systeembeheerders allerijl een update-commando voor het OpenSSL-pakket hebben ingegeven voordat hun distributie de SSL-versie had bijgewerkt? Als ze eerst flink achterliepen kan het zijn dat ze daardoor eerst niet kwetsbaar waren, en nu dus wel.

Dat betekent, cru gezegd, dat ze erg achterliepen en bovendien zichzelf slecht hadden geinformeerd, en daarmaast blindelings vertrouwen op hun pakketsysteem. Dat is wel amateuristisch natuurlijk :)
09-05-2014, 15:07 door [Account Verwijderd] - Bijgewerkt: 09-05-2014, 15:07
[Verwijderd]
09-05-2014, 17:49 door Anoniem
Hier moet iets anders aan de hand zijn, dit klopt namelijk niet. Foute meting, malware, whatever, maar er zit een luchtje aan.

Welke Linux-distributie is er nog niet geupdate én is pas vatbaar geworden nadat Heartbleed bekend werd? Je kan mij niet wijs maken dat ineens alle Gentoo en FreeBSD-liefhebbers massaal een exploitable versie van OpenSSL hebben geïnstalleerd.

Als een verhaal te sterk is om waar te zijn... is dat meestal ook zo.
09-05-2014, 18:23 door Anoniem
Honeypots
11-05-2014, 20:15 door Anoniem
Door Anoniem: Hier moet iets anders aan de hand zijn, dit klopt namelijk niet. Foute meting, malware, whatever, maar er zit een luchtje aan.

Welke Linux-distributie is er nog niet geupdate én is pas vatbaar geworden nadat Heartbleed bekend werd? Je kan mij niet wijs maken dat ineens alle Gentoo en FreeBSD-liefhebbers massaal een exploitable versie van OpenSSL hebben geïnstalleerd.

Als een verhaal te sterk is om waar te zijn... is dat meestal ook zo.

Of je denkt zelf niet goed na. Wat er gebeurd is: er kwam een hoop nieuws naar buiten over dit probleem. Op dat
moment was er nog lang niet voor alle systemen een update. Maar er waren wel oudere updates voor OpenSSL die
er waren om andere problemen te fixen (dit pakket zit boordevol problemen en er komen regelmatig updates voor uit!)
maar waar de update voor dit probleem nog niet in zat.
Beheerders die gedacht hebben "ik doe maar eens een update" en die een OpenSSL update binnen zagen komen die
hebben wellicht gedacht het probleem getackled te hebben, terwijl ze in werkelijkheid juist een update installeeerden
die het probleem aanbracht. En die update kan best heel recent zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.