Information per 2014-04-08 17:30
Samtliga system är nu patchade och kvarstående åtgärder planeras genomföras under morgondagen (onsdag), vilket kan medföra kortare avbrott på tjänsten.
Metadataregister och signering är inte berörda av buggen.
Information per 2014-04-08 12:00
Kortare avbrott kan förekomma på våra tjänster i samband med att vi genomför nödvändiga åtgärder.
Information per 2014-04-08 11:30
Buggen gör att man potentiellt kan få ut den privata nyckeln för ett certifikat, vilket gör certifikatet komprometterat (kan användas för man-in-the-middleattack).
Felet som hittats är en remote attack vector som gör att ett remoteanslutet system över TLS, kan få tillbaka 64k av minnet för TLS processen. Detta minne kan också med stor sannolikhet innehålla den privata delen av nyckeln, vilket gör att man kan komma åt den privata nyckeln för en TLS-skyddad tjänst. Har man på detta sätt kommit åt nyckeln kan man sen utföra man-in-the-middleattacker, och därför effektivt göra certifikatet oanvändbart (komprometterat).
Två saker måste ske hos alla inblandade omedelbart:
Detta gäller för alla system som man kan nå via TSL.
För Skolfederation innebär det att vi idag kommer att patcha alla system och se till att buggen/felet inte finns. Därefter kommer certifikat att bytas så snart ny certifikat finns att installera (enligt steg 2 ovan). För metadata och metadatasigneringen är detta inte ett problem. Nyckeln för signering av federationernas metadata har inte komprometterats och behöver därför inte bytas.
Därför gäller följande:
(preliminär analys från Leif Johansson, Sunet)
I vissa fall kan man slippa att köra nya nycklar i metadata:
Mer info om Heartbleed finns på www.heartbleed.com