Mūsdienu hakeri ir kļuvuši gudri. Jūs viņiem piešķirat nelielu nepilnību, un viņi to pilnībā izmanto, lai uzlauztu jūsu kodu. Šoreiz hakeru dusmas ir kritušas uz OpenSSL - atvērtā koda kriptogrāfijas bibliotēku, ko visbiežāk izmanto interneta pakalpojumu sniedzēji.
Šodien OpenSSL ir izlaidusi virkni ielāpu sešām ievainojamībām. Divas no šīm ievainojamībām tiek uzskatītas par ļoti smagām, tostarp CVE-2016-2107 un CVE-2016-2108.
Smaga ievainojamība CVE-2016-2017 ļauj hakerim ierosināt Padding Oracle Attack. Padding Oracle Attack var atšifrēt HTTPS trafiku interneta savienojumam, kas izmanto AES-CBC šifru, ar serveri, kas atbalsta AES-NI.
Padding Oracle Attack vājina šifrēšanas aizsardzību, ļaujot hakeriem atkārtoti nosūtīt vienkārša teksta pieprasījuma pieprasījumus par šifrētu kravas saturu. Šo īpašo ievainojamību pirmo reizi atklāja Jurajs Somorovskis.
Jurajs bloga ierakstā rakstīja: “ Tas, ko mēs esam iemācījušies no šīm kļūdām, ir tas, ka kriptogrāfijas bibliotēku labošana ir kritisks uzdevums, un tā ir jāapstiprina ar pozitīviem, kā arī negatīviem testiem. Piemēram, pēc CBC bloķēšanas koda daļu pārrakstīšanas jāpārbauda TLS servera pareizā izturēšanās ar nederīgiem polsterēšanas ziņojumiem. Es ceru, ka TLS-Attacker vienreiz var izmantot šādam uzdevumam. ”
Otro ļoti nopietno ievainojamību, kas bija skārusi OpenSSL bibliotēku, sauc par CVE 2016-2018. Tas ir būtisks trūkums, kas ietekmē un sabojā OpenSSL ASN.1 standarta atmiņu, ko izmanto datu kodēšanai, dekodēšanai un pārsūtīšanai. Šī īpašā ievainojamība ļauj tiešsaistes hakeriem izpildīt un izplatīt ļaunprātīgu saturu tīmekļa serverī.
Kaut arī ievainojamība CVE 2016-2018 tika noteikta 2015. gada jūnijā, taču drošības atjauninājuma ietekme ir atklājusies pēc 11 mēnešiem. Šo īpašo ievainojamību var izmantot, izmantojot pielāgotus un viltotus SSL sertifikātus, kurus pienācīgi parakstījušas sertifikācijas iestādes.
OpenSSL vienlaikus ir izlaidis arī drošības ielāpus četrām citām nelielām pārpildes ievainojamībām. Tie ietver divas pārpildes ievainojamības, vienu atmiņas izsmelšanas problēmu un vienu zemas pakāpes kļūdu, kuras rezultātā patvaļīgi steka dati tika atgriezti buferī.
Ir izlaisti drošības atjauninājumi OpenSSl versijai 1.0.1 un OpenSSl 1.0.2. Lai izvairītos no turpmākiem OpenSSL šifrēšanas bibliotēku bojājumiem, administratoriem ieteicams pēc iespējas ātrāk atjaunināt ielāpus.
Šīs ziņas sākotnēji tika publicētas vietnē The Hacker News
