Information per 2014-04-08 17:30
Samtliga system är nu patchade och kvarstående åtgärder planeras genomföras under morgondagen (onsdag), vilket kan medföra kortare avbrott på tjänsten.
Metadataregister och signering är inte berörda av buggen.
Information per 2014-04-08 12:00
Kortare avbrott kan förekomma på våra tjänster i samband med att vi genomför nödvändiga åtgärder.
Information per 2014-04-08 11:30
Buggen gör att man potentiellt kan få ut den privata nyckeln för ett certifikat, vilket gör certifikatet komprometterat (kan användas för man-in-the-middle atack).
Felet som hittats är en remote attack vektor som gör att ett remote anslutet system över TLS, kan få tillbaka 64k av minnet för TLS processen. Detta minne kan också med stor sannolikhet innehålla den privata delen av nyckeln, vilket gör att man kan komma åt den privata nyckeln för en TLS skyddad tjänst. Har man på detta sätt kommit åt nyckeln kan man sen utföra man-in-the-middle attacker, och därför effektivt göra certifikatet oanvändbart (komprometterat).
Två saker måste ske hos alla inblandade omedelbart:
Detta gäller för alla system som man kan nå via TSL.
För Sambi innebär det att vi idag kommer att patcha alla system och se till att buggen/felet inte finns. Därefter kommer certifikat att bytas så snart ny certifikat finns att installera (enligt steg 2 ovan). För metadata och metadatasigneringen är detta inte ett problem. Nyckeln för signering av federationernas metadata har inte komprometterats och behöver därför inte bytas.
Därför gäller följande:
(preliminär analys från Leif Johansson, Sunet)
I vissa fall kan man slippa att köra nya nycklar i metadata:
Mer information om Heartbleed finns på www.heartbleed.com