Skip to end of metadata
Go to start of metadata

OpenSSL anv?nds i m?nga system som ?r anslutna till SWAMID. Detta ?r SWAMID operations rekommendation av hur heartbleed skall hanteras i SWAMID:

Det finns normalt 2 nycklar i en SP eller IdP: en nyckel f?r den webserver som utg?r anv?ndargr?nssnittet f?r tj?nsten eller IdPn och en nyckel som anv?nds mellan IdPer eller SPer. Denna andra nyckel (federationsnyckeln) ?r den som finns i federationsmetadata. SWAMIDs rekommendation ?r att dessa nycklar b?r vara olika: federationsnyckeln kan med f?rdel associeras med ett sk sj?lvsignerat certifikat som inkluderas i metadata. De som satt upp sin SP eller IdP enligt denna rekommendation beh?ver normalt inte byta federations-nyckeln utom i f?ljande tv? fall:

  1. En shibboleth idp som uppsatt s? att apache hanterar SSL f?r port 8443 *och* om apache anv?nder en s?rbar openssl s? b?r IdPns federationsnyckel bytas.?F?rklaringen ?r att port 8443 anv?nder federationsnyckeln f?r TLS och om man konfigurerat sin apache att hantera denna port och (tex via ajp) skicka vidare trafiken till shibboleth IdPn s? kommer federationsnyckeln att vara tillg?nglig f?r apache-processen och allts? potentiellt blivit exponerad i en heartbleed-attack. Denna port anv?nds f?r SOAP-bindings f?r AttributeResponse.
  2. En simplesamlphp som k?r i mod_php s? ska den nycklas om oavsett om det ?r en SP eller IdP om openssl-versionen ?r s?rbar.

Kontrollera p? din OS-distributionsleverant?rs hemsida om din installerade version av openssl ?r s?rbar. Har du byggt och kompilerat openssl f?r du sj?lv kontrollera s?rbarheten. De versioner av openssl som levererats av openssl ?r s?rbara i version 1.0.1- 1.0.1f och 1.0.2beta