Dagens hackere er blevet smarte. Du giver dem et lille smuthul og de drager fuld fordel af det for at knække din kode. Denne gang er hackernes vrede ramt af OpenSSL, et kryptografisk bibliotek med open source, der oftest bruges af internetudbydere.
I dag har OpenSSL frigivet en serieopdateringer til seks sårbarheder. To af disse sårbarheder anses for at være meget alvorlige, herunder CVE-2016-2107 og CVE-2016-2108.
CVE-2016-2017, en alvorlig sårbarhed giver en hacker mulighed for at iværksætte et polstring Oracle Attack. Padding Oracle Attack kan dekryptere HTTPS-trafik til en internetforbindelse, der bruger AES-CBC-chiffer, med en server, der understøtter AES-NI.
Padding Oracle Attack svækker krypteringsbeskyttelsen ved at lade hackere sende gentagne anmodninger om almindeligt tekstindhold om et krypteret nyttelastindhold. Denne særlige sårbarhed blev først opdaget af Juraj Somorovsky.
Juraj skrev i et blogindlæg, ” Det, vi har lært af disse bugs, er, at patchning af kryptobiblioteker er en kritisk opgave og bør valideres med positive såvel som negative test. For eksempel skal TLS-serveren efter omskrivning af dele af CBC-polstringskoden testes for korrekt opførsel med ugyldige polstringmeddelelser. Jeg håber, TLS-Attacker en gang kan bruges til en sådan opgave. ”
Den anden sårbarhed med høj alvorlighed, der var ramt OpenSSL-biblioteket, kaldes CVE 2016-2018. Det er en stor fejl, der påvirker og ødelægger hukommelsen i OpenSSL ASN.1-standarden, der bruges til kodning, afkodning og overførsel af data. Denne særlige sårbarhed giver online hackere mulighed for at udføre og sprede skadeligt indhold over webserveren.
Selvom sårbarheden CVE 2016-2018 blev rettet tilbage i juni 2015, men virkningen af sikkerhedsopdateringen er kommet efter 11 måneder. Denne særlige sårbarhed kan udnyttes ved hjælp af tilpassede og falske SSL-certifikater, behørigt underskrevet af certificeringsmyndigheder.
OpenSSL har også frigivet sikkerhedsrettelser til fire andre mindre overløbssårbarheder på samme tid. Disse inkluderer to overløbssårbarheder, et problem med udmattelse af hukommelse og en fejl med lav alvorlighed, der resulterede i, at vilkårlige stakeldata blev returneret i bufferen.
Sikkerhedsopdateringerne er blevet frigivet for OpenSSl version 1.0.1 og OpenSSl version 1.0.2. For at undgå yderligere skader på OpenSSL-krypteringsbiblioteker rådes administratorer om at opdatere programrettelserne så hurtigt som muligt.
Denne nyhed blev oprindeligt offentliggjort på The Hacker News
