Hackerii de astăzi au devenit deștepți. Le oferiți o ușoară lacună și profită din plin de acesta pentru a vă crăpa codul. De data aceasta, mânia hackerilor a căzut asupra OpenSSL, o bibliotecă criptografică open source, cea mai frecvent utilizată de furnizorii de servicii de internet.
Astăzi, OpenSSL a lansat o serie de patch-uri pentru șase vulnerabilități. Două dintre aceste vulnerabilități sunt considerate extrem de grave, inclusiv CVE-2016-2107 și CVE-2016-2108.
CVE-2016-2017, o vulnerabilitate severă permite unui hacker să inițieze un Padding Oracle Attack. Padding Oracle Attack poate decripta traficul HTTPS pentru o conexiune de internet care utilizează cifrul AES-CBC, cu un server care acceptă AES-NI.
Padding Oracle Attack slăbește protecția de criptare, permițând hackerilor să trimită o cerere repetată de conținut text simplu despre un conținut de încărcare utilă criptat. Această vulnerabilitate specială a fost descoperită pentru prima dată de Juraj Somorovsky.
Juraj a scris într-o postare pe blog: „ Ceea ce am învățat din aceste bug-uri este că aplicarea bibliotecilor crypto este o sarcină critică și ar trebui validată cu teste pozitive, dar și negative. De exemplu, după rescrierea unor părți ale codului de umplere CBC, serverul TLS trebuie testat pentru un comportament corect cu mesaje de acoperire nevalide. Sper că TLS-Attacker poate fi folosit odată pentru o astfel de sarcină. “
A doua vulnerabilitate de înaltă severitate care a lovit biblioteca OpenSSL se numește CVE 2016-2018. Este un defect major care afectează și corupe memoria memoriei standardului OpenSSL ASN.1 care este utilizat pentru codificarea, decodarea și transferul de date. Această vulnerabilitate particulară permite hackerilor online să execute și să răspândească conținut rău intenționat pe serverul web.
Deși vulnerabilitatea CVE 2016-2018 a fost remediată în iunie 2015, dar impactul actualizării de securitate a apărut după 11 luni. Această vulnerabilitate particulară poate fi exploatată folosind certificate SSL personalizate și false, semnate în mod corespunzător de autoritățile de certificare.
OpenSSL a lansat, de asemenea, patch-uri de securitate pentru alte patru vulnerabilități de overflow minore în același timp. Acestea incluzând două vulnerabilități de overflow, o problemă de epuizare a memoriei și o eroare de gravitate scăzută care a dus la returnarea datelor de stivă arbitrare în buffer.
Actualizările de securitate au fost lansate pentru OpenSSl versiunea 1.0.1 și OpenSSl versiunea 1.0.2. Pentru a evita orice alte daune aduse bibliotecilor de criptare OpenSSL, administratorii sunt sfătuiți să actualizeze patch-urile cât mai curând posibil.
Această știre a fost publicată inițial pe The Hacker News
