OpenSSL – nowe zagrożenia

Fundacja Bezpieczna Cyberprzestrzeń

OpenSSlOpenSSL wydaje aktualizacje sześciu krytycznych luk

OpenSSL wydaje aktualizacje sześciu krytycznych luk, w tym poprawki do jednej poważnej luki (CVE-2014-0224), która może zostać wykorzystana do ataku Man-in-the-Middle (MITM).

Choć Internet wciąż jeszcze otrząsa się po luce Heartbleed – Poważna luka w bibliotece Open SSL – wadzie oprogramowania, o której dowiedzieliśmy się w kwietniu tego roku, która łamała implementacje powszechnie używanego protokołu szyfrowania SSL, a już pojawia się inny poważny błąd w bibliotece OpenSSL. Wczoraj Fundacja OpenSSL opublikowała ostrzeżenie dla użytkowników i nawołuje do ponownej aktualizacji SSL, tym razem aby rozwiązać wcześniej nieznany, ale już kilkunastoletni błąd w oprogramowaniu (CVE-2014-0224), który ponoć umożliwia deszyfrację ruchu SSL pomiędzy klientem a serwerem. Możliwe jest również przeprowadzenie ataku typu man-in-the-middle. Podatne są wersje openssl 1.0.1 i wyższe.

Wada istnieje od 1998 roku

Japończyk Masashi Kikuchi – jeden z odkrywców słabości – twierdzi, że wada istnieje od 1998 roku i uważa, że pomimo powszechnego występowania oprogramowania OpenSSL i jego niedawnej szeroko zakrojonej kontroli towarzyszącej pojawieniu się luki Heartbleed, kodowi OpenSSL specjaliści z dziedziny bezpieczeństwa wciąż nie poświęcają wystarczającej uwagi.

Inne podatności to potencjalna możliwość wykonania kodu na serwerze (problem występuje w module DTLS, o wiele mniej popularnym niż wykorzystywany w https TLS) i różne odmiany DoS-ów. Fundacja OpenSSL, której szyfrowanie jest stosowane przez większość serwerów SSL w sieci, wydała poprawkę i zaleca natychmiastową aktualizację. W przeciwieństwie do wady Heartbleed, która pozwalała każdemu bezpośrednio zaatakować serwer, atakujący wykorzystujący ten nowo odkryty błąd będzie musiał znajdować się gdzieś między dwoma komunikującymi się komputerami.

 

open-ssl

 

Pikanterii tej historii dodaje fakt, że objawienie błędu nastąpiło w pierwszą rocznicę pierwszej publikacji przecieków Snowdena – mówi badacz bezpieczeństwa Soltani. Sugeruje on, że grupy ochrony prywatności, takie na przykład jak Reset Net, wykorzystują rewelacje Snowdena jako inspirację do nacisków na firmy i internautów w celu namówienia ich do wdrożenia technik szyfrowania, co jak widać zaczyna być podważane przez kolejne informacje o słabościach. Cytując jednego z działaczy Reset Net „Jest to dość wstydliwe, że bezpieczeństwo rdzenia biblioteki kryptograficznej, na której opiera się praktycznie cały Internet, jest utrzymywane przez garstkę niedofinansowanych inżynierów”.

 

 

Źródło: https://www.openssl.org/news/secadv_20140605.txt                          http://www.wired.com/2014/06/heartbleed-redux-another-gaping-wound-in-ssl-uncovered/

 

 

Share Button