Dzisiejsi hakerzy stali się inteligentni. Dajesz im lekką lukę i wykorzystują to w pełni do złamania kodu. Tym razem gniew hakerów spadł na OpenSSL, bibliotekę kryptograficzną o otwartym kodzie źródłowym, najczęściej używaną przez dostawców usług internetowych.
Dzisiaj OpenSSL wydał serię poprawek dla sześciu luk. Dwie z tych luk uznaje się za bardzo poważne, w tym CVE-2016-2107 i CVE-2016-2108.
Poważna luka w CVE-2016-2017 pozwala hakerowi zainicjować atak Oracle Padding. Padding Oracle Attack może odszyfrować ruch HTTPS dla połączenia internetowego, które korzysta z szyfru AES-CBC, z serwerem obsługującym AES-NI.
Padding Oracle Attack osłabia ochronę szyfrowania, umożliwiając hakerom wysyłanie powtarzających się zapytań o zawartość zwykłego tekstu o zaszyfrowanej zawartości ładunku. Ta szczególna luka została po raz pierwszy odkryta przez Juraj Somorovsky.
Juraj napisał na blogu: „ Z tych błędów dowiedzieliśmy się, że łatanie bibliotek kryptograficznych jest zadaniem krytycznym i powinno być sprawdzane zarówno pozytywnymi, jak i negatywnymi testami. Na przykład po przepisaniu części kodu dopełnienia CBC serwer TLS musi zostać przetestowany pod kątem poprawnego zachowania z nieprawidłowymi komunikatami dopełnienia. Mam nadzieję, że TLS-Attacker może kiedyś zostać użyty do takiego zadania. ”
Druga luka w zabezpieczeniach, która dotknęła bibliotekę OpenSSL, nosi nazwę CVE 2016-2018. Jest to poważna wada, która wpływa na pamięć standardu OpenSSL ASN.1, która jest używana do kodowania, dekodowania i przesyłania danych. Ta szczególna luka pozwala hakerom online na wykonywanie i rozprzestrzenianie szkodliwej zawartości na serwerze WWW.
Chociaż luka CVE 2016-2018 została usunięta w czerwcu 2015 r., Ale wpływ aktualizacji zabezpieczeń ujawnił się po 11 miesiącach. Ta szczególna luka może zostać wykorzystana przy użyciu niestandardowych i fałszywych certyfikatów SSL, należycie podpisanych przez urzędy certyfikacji.
OpenSSL wydał także łatki bezpieczeństwa dla czterech innych luk w zabezpieczeniach przed przepełnieniem. Obejmują one dwie luki w przepełnieniu, jeden problem wyczerpania pamięci i jeden błąd o niskim poziomie ważności, który spowodował, że w buforze zostały zwrócone dowolne dane stosu.
Aktualizacje zabezpieczeń zostały wydane dla wersji OpenSSl 1.0.1 i OpenSSl 1.0.2. Aby uniknąć dalszych szkód w bibliotekach szyfrujących OpenSSL, administratorom zaleca się jak najszybsze zaktualizowanie poprawek.
Ta wiadomość została pierwotnie opublikowana w The Hacker News
