Današnji hekerji so postali pametni. Daš jim rahlo vrzel in oni jo v celoti izkoristijo, da pokvarijo tvojo kodo. Tokrat je jeza hekerjev padla na OpenSSL, odprtokodno kriptografsko knjižnico, ki jo najpogosteje uporabljajo ponudniki internetnih storitev.
Danes je OpenSSL izdal serijo popravkov za šest ranljivosti. Dve od teh ranljivosti veljata za zelo hude, med njimi CVE-2016-2107 in CVE-2016-2108.
Resnična ranljivost CVE-2016-2017 omogoča hekerju, da sproži Padding Oracle Attack. Padding Oracle Attack lahko dešifrira promet HTTPS za internetno povezavo, ki uporablja šifro AES-CBC, s strežnikom, ki podpira AES-NI.
Padding Oracle Attack oslabi zaščito šifriranja, saj hekerjem omogoča, da pošljejo večkratno zahtevo za navadno besedilno vsebino o šifrirani vsebini koristnega bremena. To posebno ranljivost je prvi odkril Juraj Somorovsky.
Juraj je v prispevku na blogu zapisal: " Kar smo se naučili od teh napak, je, da je krpanje kripto knjižnic kritična naloga in jih je treba potrditi s pozitivnimi in negativnimi testi. Na primer, po prepisovanju delov kode za oblazinjenje CBC je treba strežnik TLS preizkusiti glede pravilnega ravnanja z neveljavnimi sporočilnimi oblogami. Upam, da bo TLS-Attacker enkrat mogoče uporabiti za tako nalogo. ”
Druga ranljivost velike resnosti, ki je prizadela knjižnico OpenSSL, se imenuje CVE 2016-2018. To je glavna napaka, ki vpliva na in pokvari spomin standarda OpenSSL ASN.1, ki se uporablja za kodiranje, dekodiranje in prenos podatkov. Ta posebna ranljivost spletnim hekerjem omogoča izvajanje in širjenje zlonamerne vsebine po spletnem strežniku.
Čeprav je bil ranljivost CVE 2016–2018 odpravljena junija 2015, se je učinek posodobitve varnosti pokazal po 11 mesecih. To posebno ranljivost je mogoče izkoristiti z uporabo prilagojenih in ponarejenih SSL certifikatov, ki jih pravilno potrdijo certifikacijski organi.
OpenSSL je hkrati izdal varnostne popravke za štiri manjše ranljivosti zaradi prelivanja. Ti vključujejo dve ranljivosti za prelivanje, eno težavo z izčrpavanjem pomnilnika in eno napako nizke resnosti, zaradi česar so se v medpomnilnik vrnili poljubni podatki o nizu.
Objavljene so varnostne posodobitve za različici OpenSSl 1.0.1 in OpenSSl različice 1.0.2. Da se izognete nadaljnjim poškodbam šifrirnih knjižnic OpenSSL, se administratorjem svetuje, naj posodobite popravke čim prej.
Ta novica je bila prvotno objavljena v The Hacker News
