A mai hackerek okosak lettek. Ön megad egy kis kiskaput, és teljes mértékben kihasználják azt, hogy feltörjék a kódot. Ezúttal a hackerek haragja az OpenSSL-re, egy nyílt forrású kriptográfiai könyvtárra esett, amelyet az internetszolgáltatók leggyakrabban használnak.
Ma az OpenSSL kiadott egy sor javítást hat biztonsági résről. E sérülékenységek közül kettő nagyon súlyosnak tekinthető, ideértve a CVE-2016-2107 és a CVE-2016-2108.
A CVE-2016-2017, egy súlyos sérülékenység lehetővé teszi a hackereknek Padding Oracle Attack elindítását. A Padding Oracle Attack dekódolhatja a HTTPS forgalmat az AES-CBC titkosítást használó internetkapcsolathoz az AES-NI-t támogató kiszolgálóval.
A Padding Oracle Attack gyengíti a titkosítási védelmet azáltal, hogy lehetővé teszi a hackerek számára, hogy ismétlődő szöveges tartalom iránti kérelmet küldjenek a titkosított hasznos teher tartalmáról. Ezt a különleges sebezhetőséget először Juraj Somorovsky fedezte fel.
Juraj egy blogbejegyzésben írta: „ Amit ezekből a hibákból megtudtunk, az az, hogy a kriptokönyvtárak javítása kritikus feladat, amelyet pozitív és negatív tesztekkel kell érvényesíteni. Például a CBC padding-kódjának egyes részeinek átírása után a TLS-kiszolgálót meg kell vizsgálni az érvénytelen padding-üzenetekkel való helyes viselkedés szempontjából. Remélem, hogy a TLS-Attacker felhasználható egy ilyen feladat elvégzésére. ”
A második, az OpenSSL könyvtárat sújtó súlyos biztonsági rést CVE 2016-2018 néven hívják fel. Ez egy jelentős hiba, amely befolyásolja és megrongálja az OpenSSL ASN.1 szabvány memóriáját, amelyet az adatok kódolására, dekódolására és továbbítására használnak. Ez a különleges biztonsági rés lehetővé teszi az online hackerek számára a rosszindulatú tartalmak végrehajtását és terjesztését az internetes kiszolgálón.
A CVE 2016-2018 sebezhetőséget még 2015. júniusban kijavítottuk, de a biztonsági frissítés hatása 11 hónap elteltével derült fényre. Ezt a különleges sebezhetőséget kihasználhatja testreszabott és hamis SSL tanúsítványokkal, amelyeket a tanúsító hatóságok megfelelően aláírnak.
Az OpenSSL biztonsági javításokat is kiadott egyidejűleg négy másik kisebb túlcsordulási sérülékenységre. Ezek között van két túlcsordulást okozó biztonsági rés, egy memória kimerülési probléma és egy alacsony súlyosságú hiba, amely tetszőleges veremadatokat adott vissza a pufferben.
A biztonsági frissítéseket kiadták az OpenSSl 1.0.1 és az OpenSSl 1.0.2 verzióhoz. Az OpenSSL titkosítási könyvtárak további károsodásának elkerülése érdekében a rendszergazdáknak javasoljuk, hogy a javításokat a lehető leghamarabb frissítsék.
Ezt a hírt eredetileg a The Hacker News közzétette
