OpenSSL – nowe zagrożenia

OpenSSL wydaje aktualizacje sześciu krytycznych luk

OpenSSL wydaje aktualizacje sześciu krytycznych luk, w tym poprawki do jednej poważnej luki (CVE-2014-0224), która może zostać wykorzystana do ataku Man-in-the-Middle (MITM).

Choć Internet wciąż jeszcze otrząsa się po luce Heartbleed – Poważna luka w bibliotece Open SSL – wadzie oprogramowania, o której dowiedzieliśmy się w kwietniu tego roku, która łamała implementacje powszechnie używanego protokołu szyfrowania SSL, a już pojawia się inny poważny błąd w bibliotece OpenSSL. Wczoraj Fundacja OpenSSL opublikowała ostrzeżenie dla użytkowników i nawołuje do ponownej aktualizacji SSL, tym razem aby rozwiązać wcześniej nieznany, ale już kilkunastoletni błąd w oprogramowaniu (CVE-2014-0224), który ponoć umożliwia deszyfrację ruchu SSL pomiędzy klientem a serwerem. Możliwe jest również przeprowadzenie ataku typu man-in-the-middle. Podatne są wersje openssl 1.0.1 i wyższe.

Wada istnieje od 1998 roku

Japończyk Masashi Kikuchi – jeden z odkrywców słabości – twierdzi, że wada istnieje od 1998 roku i uważa, że pomimo powszechnego występowania oprogramowania OpenSSL i jego niedawnej szeroko zakrojonej kontroli towarzyszącej pojawieniu się luki Heartbleed, kodowi OpenSSL specjaliści z dziedziny bezpieczeństwa wciąż nie poświęcają wystarczającej uwagi.

Inne podatności to potencjalna możliwość wykonania kodu na serwerze (problem występuje w module DTLS, o wiele mniej popularnym niż wykorzystywany w https TLS) i różne odmiany DoS-ów. Fundacja OpenSSL, której szyfrowanie jest stosowane przez większość serwerów SSL w sieci, wydała poprawkę i zaleca natychmiastową aktualizację. W przeciwieństwie do wady Heartbleed, która pozwalała każdemu bezpośrednio zaatakować serwer, atakujący wykorzystujący ten nowo odkryty błąd będzie musiał znajdować się gdzieś między dwoma komunikującymi się komputerami.

 

 

Pikanterii tej historii dodaje fakt, że objawienie błędu nastąpiło w pierwszą rocznicę pierwszej publikacji przecieków Snowdena – mówi badacz bezpieczeństwa Soltani. Sugeruje on, że grupy ochrony prywatności, takie na przykład jak Reset Net, wykorzystują rewelacje Snowdena jako inspirację do nacisków na firmy i internautów w celu namówienia ich do wdrożenia technik szyfrowania, co jak widać zaczyna być podważane przez kolejne informacje o słabościach. Cytując jednego z działaczy Reset Net „Jest to dość wstydliwe, że bezpieczeństwo rdzenia biblioteki kryptograficznej, na której opiera się praktycznie cały Internet, jest utrzymywane przez garstkę niedofinansowanych inżynierów”.

 

 

Źródło: https://www.openssl.org/news/secadv_20140605.txt                          http://www.wired.com/2014/06/heartbleed-redux-another-gaping-wound-in-ssl-uncovered/

 

 

Share Button