www.wikidata.da-dk.nina.az

OpenSSL er en open source implementering af SSL og TLS protokollerne Kernefunktionaliteten er skrevet i C og implementer

OpenSSL

OpenSSL er en open-source implementering af SSL- og TLS-protokollerne. Kernefunktionaliteten er skrevet i C, og implementerer basale kryptografiske funktioner og stiller forskellige hjælpefunktioner til rådighed. Der eksisterer "wrappere" der muliggør brug af OpenSSL, i et hav af andre programmeringssprog.

OpenSSL
Udvikler(e) The OpenSSL Project
Stabil version 3.1.3 (2023-09-19)
Skrevet i C, assembler
Operativsystem Multi-platform
Platform Multi-platform
Type Sikkerhedsprogrambibliotek
Licens Apache-licens 1.0 og 4-klausulers BSD-licens
Hjemmeside https://www.openssl.org

Der findes versioner til de fleste Unix-lignende operativsystemer (herunder Solaris, Linux, Mac OS X og de forskellige open source BSD operativsystemer), OpenVMS og Microsoft Windows. IBM leverer en porteret version til System i (OS/400). OpenSSL er baseret på SSLeay af Eric A. Young og Tim Hudson, udviklingen af denne stoppede officielt omkring december 1998, da Young og Hudson begge begyndte at arbejde for RSA Security.

Licenser Rediger

OpenSSL har en "dobbelt-licens", under OpenSSL-licens og SSLeay-licens. OpenSSL-licensen er en Apache-licens 1.0 og SSLeay-licensen er en 4-klausuls BSD-licens. Den normale betydning af betegnelsen dobbelt-licens er at brugeren frit kan vælge den licens han ønsker at anvende. Men OpenSSL dokumentationen bruger betegnelsen dobbelt-licens i betydningen at begge licenser gælder.

Da OpenSSL-licensen er en Apache-licens 1.0, og ikke en Apache-licens 2.0, kræver den at sætningen 'This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/) (Webside ikke længere tilgængelig) optræder i marketingmateriale og i enhver distribution (Afsnit 3 og 6 i OpenSSL-licensen). Pga. denne begrænsning, er OpenSSL-licensen og Apache-licensen inkompatible med GPLen. Nogle GPL udviklere har tilføjet en OpenSSL undtagelse til deres licenser alene for at tillade at OpenSSL kan blive brugt med deres system. GNU Wget og climm bruger begge sådanne undtagelser. Nogle pakker (som Deluge) har specifikt modificeret GPL-licensen ved at tilføje et ekstra afsnit i starten af licensen der dokumenterer undtagelsen. Andre pakker bruger den LGPL licenserede GnuTLS som udfører den samme opgave.

Velkendte sårbarheder Rediger

Sårbarhed i Debian implementeringen Rediger

For at undgå visning af en fejl i Valgrind analyseværktøjet havde en vedligeholder af Debian distributionen anvendt en patch i Debian implementeringen af OpenSSL pakken, som utilsigtet kom til at bryde dens tilfældighedsgenerator. Den defekte version blev inkluderet i Debian udgaven fra 17. september 2006 (version 0.9.8c-1). Enhver nøgle dannet med den defekte tilfældighedsgenerator, og data krypteret med sådan en nøgle, blev kompromiteret. Fejlen blev rapporteret af Debian den 13. maj 2008.

I Debian 4.0 distributionen (etch), blev disse problemer løst i version 0.9.8c-4etch3 og for Debian 5.0 distributionen (lenny), blev disse problemer læst i version 0.9.8g-9.

Heartbleed-bug Rediger

Hovedartikel: Heartbleed-bug.
Logo for Heartbleed fejlen

Den 7. april 2014, blev det annonceret at OpenSSL 1.0.2-beta samt alle versioner af OpenSSL i 1.0.1 serien, bortset fra 1.0.1g, havde en alvorlig hukommelseshåndteringsfejl i deres implementering af TLS Heartbeat udvidelsen. Denne defekt kunne blive brugt til at afsløre op til 64 kilobyte af applikationshukommelsen med hvert eneste heartbeat. Dens CVE nummer er CVE-2014-0160.

Sårbarheden har eksisteret siden 31. december 2011, og den sårbare kode er blevet meget udbredt med udgivelsen af OpenSSL version 1.0.1 den 14. marts 2012. Ved at læse hukommelsen på webserveren, kan angribere få adgang til følsomme data, og dermed kompromitere serverens og dens brugeres sikkerhed. Potentielt sårbare sikre data omfatter serverens private master key, hvilket gør det muligt for angribere at bryde krypteringen af tidligere aflyttet kommunikation med serveren og dermed implementere et man-in-the-middle angreb.

Sårbarheden kan måske også afsløre ikke-krypterede dele af brugeres følsomme forespørgsler og svar, herunder cookies og kodeord, hvilket måske kan gøre det muligt for angribere at overtage identiten af en anden bruger af tjenesten. Ved afsløringen blev det vurderet at ca. 17% eller en halv million af Internettets sikre webserverere certifieret af certifikatudstedere var følsomme over for angrebet.

Der er etableret en dedikeret webside The Heartbleed Bug 7. april 2014 hos Wayback Machine der giver et overblik over fejlen samt anvisninger på tiltag. Det danske teknologisite Version2 har også en oversigt.

Kilder Rediger

  1. "OpenSSL: Source, License". openssl.org.
  2. "Licenses – Free Software Foundation". fsf.org.
  3. . users.ugent.be. Arkiveret fra originalen 2. januar 2008. Hentet 9. april 2014.
  4. . climm.org. Arkiveret fra originalen 12. februar 2011. Hentet 2010-11-30.
  5. "Deluge LICENSE file". deluge-torrent.org. Hentet 2013-01-24.
  6. ^ "DSA-1571-1 openssl – predictable random number generator". Debian. 2008-05-13. Hentet 2012-12-03.
  7. Seggelmann, R.; et al. (februar 2012). "Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension". RFC 6520. Internet Engineering Task Force (IETF). Hentet 2014-04-08. {{cite web}}: Eksplicit brug af et al. i: |author= (hjælp); Ekstern henvisning i |work= (hjælp)
  8. OpenSSL (2014-04-07). "TSL heartbeat read overrun (CVE-2014-0160)". Hentet 2014-04-08.
  9. CVE - CVE-2014-0160
  10. ^ Codenomicon Ltd (2014-04-08). . Arkiveret fra originalen 7. april 2014. Hentet 2014-04-08.
  11. Goodin, Dan (2014-04-08). "Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping". Ars Technica. Hentet 2014-04-08.
  12. . IPSec.pl. 2014. Arkiveret fra originalen 8. april 2014. Hentet 9. april 2014.
  13. Mutton, Paul (2014-04-08). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd. Hentet 2014-04-08.
  14. Rühne, Frederik Høj (2014-04-10). "Hul i OpenSSL: En halv million hjemmesider er sikkerhedsudsat". Version2. Hentet 2014-04-10.
  15. Møllerhøj, Jakob (2014-04-09). "Ekspert om omfattende SSL-sårbarhed: Derfor skal du skifte alle dine kodeord". Version2. Hentet 2014-04-10.
  16. . 2014-04-07. Arkiveret fra originalen 7. april 2014. Hentet 2014-04-09.
  17. Kramshøj, Henrik (2014-04-08). "Opdater OpenSSL - og dit OS nu". Version2. Hentet 2014-04-10.

Eksterne henvisninger Rediger

Spire
Denne artikel om software og programmering er en spire som bør udbygges. Du er velkommen til at hjælpe Wikipedia ved at udvide den.
wikipedia, wiki, bog, bøger, bibliotek, artikel, læs, download, gratis, gratis download, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, billede, musik, sang, film, bog, spil, spil.
Udgivelsesdato:
OpenSSL er en open source implementering af SSL og TLS protokollerne Kernefunktionaliteten er skrevet i C og implementerer basale kryptografiske funktioner og stiller forskellige hjaelpefunktioner til radighed Der eksisterer wrappere der muliggor brug af OpenSSL i et hav af andre programmeringssprog OpenSSLUdvikler e The OpenSSL ProjectStabil version3 1 3 2023 09 19 Skrevet iC assemblerOperativsystemMulti platformPlatformMulti platformTypeSikkerhedsprogrambibliotekLicensApache licens 1 0 og 4 klausulers BSD licensHjemmesidehttps www openssl orgDer findes versioner til de fleste Unix lignende operativsystemer herunder Solaris Linux Mac OS X og de forskellige open source BSD operativsystemer OpenVMS og Microsoft Windows IBM leverer en porteret version til System i OS 400 OpenSSL er baseret pa SSLeay af Eric A Young og Tim Hudson udviklingen af denne stoppede officielt omkring december 1998 da Young og Hudson begge begyndte at arbejde for RSA Security Indholdsfortegnelse 1 Licenser 2 Velkendte sarbarheder 2 1 Sarbarhed i Debian implementeringen 2 2 Heartbleed bug 3 Kilder 4 Eksterne henvisningerLicenser RedigerOpenSSL har en dobbelt licens under OpenSSL licens og SSLeay licens 1 OpenSSL licensen er en Apache licens 1 0 og SSLeay licensen er en 4 klausuls BSD licens Den normale betydning af betegnelsen dobbelt licens er at brugeren frit kan vaelge den licens han onsker at anvende Men OpenSSL dokumentationen bruger betegnelsen dobbelt licens i betydningen at begge licenser gaelder Da OpenSSL licensen er en Apache licens 1 0 og ikke en Apache licens 2 0 kraever den at saetningen This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http www openssl org Webside ikke laengere tilgaengelig optraeder i marketingmateriale og i enhver distribution Afsnit 3 og 6 i OpenSSL licensen Pga denne begraensning er OpenSSL licensen og Apache licensen inkompatible med GPLen 2 Nogle GPL udviklere har tilfojet en OpenSSL undtagelse til deres licenser alene for at tillade at OpenSSL kan blive brugt med deres system GNU Wget og climm bruger begge sadanne undtagelser 3 4 Nogle pakker som Deluge har specifikt modificeret GPL licensen ved at tilfoje et ekstra afsnit i starten af licensen der dokumenterer undtagelsen 5 Andre pakker bruger den LGPL licenserede GnuTLS som udforer den samme opgave Velkendte sarbarheder RedigerSarbarhed i Debian implementeringen Rediger For at undga visning af en fejl i Valgrind analysevaerktojet havde en vedligeholder af Debian distributionen anvendt en patch i Debian implementeringen af OpenSSL pakken som utilsigtet kom til at bryde dens tilfaeldighedsgenerator Den defekte version blev inkluderet i Debian udgaven fra 17 september 2006 version 0 9 8c 1 Enhver nogle dannet med den defekte tilfaeldighedsgenerator og data krypteret med sadan en nogle blev kompromiteret Fejlen blev rapporteret af Debian den 13 maj 2008 6 I Debian 4 0 distributionen etch blev disse problemer lost i version 0 9 8c 4etch3 og for Debian 5 0 distributionen lenny blev disse problemer laest i version 0 9 8g 9 6 Heartbleed bug Rediger nbsp Hovedartikel Heartbleed bug nbsp Logo for Heartbleed fejlenDen 7 april 2014 blev det annonceret at OpenSSL 1 0 2 beta samt alle versioner af OpenSSL i 1 0 1 serien bortset fra 1 0 1g havde en alvorlig hukommelseshandteringsfejl i deres implementering af TLS Heartbeat udvidelsen 7 Denne defekt kunne blive brugt til at afslore op til 64 kilobyte af applikationshukommelsen med hvert eneste heartbeat 8 Dens CVE nummer er CVE 2014 0160 9 Sarbarheden har eksisteret siden 31 december 2011 og den sarbare kode er blevet meget udbredt med udgivelsen af OpenSSL version 1 0 1 den 14 marts 2012 10 11 Ved at laese hukommelsen pa webserveren kan angribere fa adgang til folsomme data og dermed kompromitere serverens og dens brugeres sikkerhed Potentielt sarbare sikre data omfatter serverens private master key 10 hvilket gor det muligt for angribere at bryde krypteringen af tidligere aflyttet kommunikation med serveren og dermed implementere et man in the middle angreb Sarbarheden kan maske ogsa afslore ikke krypterede dele af brugeres folsomme foresporgsler og svar herunder cookies og kodeord hvilket maske kan gore det muligt for angribere at overtage identiten af en anden bruger af tjenesten 12 Ved afsloringen blev det vurderet at ca 17 eller en halv million af Internettets sikre webserverere certifieret af certifikatudstedere var folsomme over for angrebet 13 14 15 Der er etableret en dedikeret webside The Heartbleed Bug Arkiveret 7 april 2014 hos Wayback Machine der giver et overblik over fejlen samt anvisninger pa tiltag 16 Det danske teknologisite Version2 har ogsa en oversigt 17 Kilder Rediger OpenSSL Source License openssl org Licenses Free Software Foundation fsf org WGET 1 10 2 for Windows win32 users ugent be Arkiveret fra originalen 2 januar 2008 Hentet 9 april 2014 Releases of source and binaries climm org Arkiveret fra originalen 12 februar 2011 Hentet 2010 11 30 Deluge LICENSE file deluge torrent org Hentet 2013 01 24 a b DSA 1571 1 openssl predictable random number generator Debian 2008 05 13 Hentet 2012 12 03 Seggelmann R et al februar 2012 Transport Layer Security TLS and Datagram Transport Layer Security DTLS Heartbeat Extension RFC 6520 Internet Engineering Task Force IETF Hentet 2014 04 08 b cite web b Eksplicit brug af et al i author hjaelp Ekstern henvisning i code class cs1 code work code hjaelp OpenSSL 2014 04 07 TSL heartbeat read overrun CVE 2014 0160 Hentet 2014 04 08 CVE CVE 2014 0160 a b Codenomicon Ltd 2014 04 08 Heartbleed Bug Arkiveret fra originalen 7 april 2014 Hentet 2014 04 08 Goodin Dan 2014 04 08 Critical crypto bug in OpenSSL opens two thirds of the Web to eavesdropping Ars Technica Hentet 2014 04 08 Why Heartbleed is dangerous Exploiting CVE 2014 0160 IPSec pl 2014 Arkiveret fra originalen 8 april 2014 Hentet 9 april 2014 Mutton Paul 2014 04 08 Half a million widely trusted websites vulnerable to Heartbleed bug Netcraft Ltd Hentet 2014 04 08 Ruhne Frederik Hoj 2014 04 10 Hul i OpenSSL En halv million hjemmesider er sikkerhedsudsat Version2 Hentet 2014 04 10 Mollerhoj Jakob 2014 04 09 Ekspert om omfattende SSL sarbarhed Derfor skal du skifte alle dine kodeord Version2 Hentet 2014 04 10 The Heartbleed Bug 2014 04 07 Arkiveret fra originalen 7 april 2014 Hentet 2014 04 09 Kramshoj Henrik 2014 04 08 Opdater OpenSSL og dit OS nu Version2 Hentet 2014 04 10 Eksterne henvisninger RedigerOpenSSL org nbsp SpireDenne artikel om software og programmering er en spire som bor udbygges Du er velkommen til at hjaelpe Wikipedia ved at udvide den Hentet fra https da wikipedia org w index php title OpenSSL amp oldid 11561131