Prindi

Oluline informatsioon seoses OpenSSL turvaveaga

11.04.2014

Turvatarkvara OpenSSL mõnedes versioonides on avastatud viga, mis võimaldab ühenduse algatamise käigus lekitada veebiserveri mälus asuvaid andmeid, sh privaatvõtit.

Turvaveaga OpenSSL versioonid on OpenSSL 1.0.1 kuni 1.0.1f (k.a). Turvaveaga versioonid hakkasid levima alates 14.03.2012. Veaparandus tehti 7. aprillil 2014. a versioonis 1.0.1g. Ülejäänud OpenSSL versioonid ega harud pole vigased.

Vea kaudu on võimalik ligi pääseda näiteks serveri või kliendi võtmele, kasutajate paroolidele, edastatud (krüpteeritud) sisule jms. Reeglina ei jää turvavea ärakasutamisest jälge teenust osutava serveri logidesse, mis tähendab, et edukaid ründeid on võimalik teostada märkamatult ning seda ka ID-kaardiga sisselogimist nõudvate lehtede vastu. 

Avastatud turvaveale on antud ametlik CVE (Common Vulnerabilities and Exposures) number CVE-2014-0160. Sellelt aadressilt saab ka viiteid täpsema tehnilise kirjelduse kohta ning infot operatsioonisüsteemide tootjate lehtedele, kust saab paranduspakke alla laadida. Eesti meedias on teemat kajastanud näiteks Delfi portaal Forte. 

Kuigi enamus veebilehitsejatest OpenSSL-i ei kasuta, soovitame kõikidel arvutikasutajatel kindlasti kontrollida, et nende seadmetes oleks kõige uuemad tarkvaraversioonid ja kõik värskendused paigaldatud. Samuti soovitame esimesel võimalusel muuta ära kehtivad paroolid kõikides veebiteenustes (Facebook, Gmail, Yahoo mail, Dropbox jne), mida kasutate. 

SK teenused ja serverid (digidocservice.sk.ee, digidoc.sk.ee, sk.ee) ei ole kasutanud vigast tarkvaraverisooni. Rõhutame, et viga oli OpenSSLi tarkvaras, mitte protokollides ega krüptograafias. ID-kaardi ja Mobiil-ID kasutajaid turvaviga ei puuduta, selle tõttu pole vaja sertifikaate uuendada.

Küsimuste ja probleemide korral võtke palun viivitamatult ühendust SK klienditoega e-posti aadressil support[A]sk.ee või telefonil 610 1880.