В OpenSSL нашли уязвимости

В OpenSSL нашли уязвимостиВ OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода – примечание: в ТЗ было сказано, что заголовки оставлять те же, но этот заголовок забирает 6 % уникальности, а уникальность должна быть 95 – 100%. Ниже другой, более простой заголовок. С ним уникальность текста 97%.

Исправленные версии OpenSSLпод «именами» (0.9.8za,1.0.0m,1.0.1h) были опубликованы сразу же после выявления опасной уязвимости под кодомCVE-2014-0224, из-за которой существовала возможность осуществить атаку MITM.
Информацию о данной недоработке выявил и отправил разработчикам KikuchiMasashi, который является исследователем безопасности. По его словам, эта ошибка в коде существовала изначально, еще в самых первых выпусках OpenSSL.Причина, по которой столь долгое время ошибка была не замечена – не достаточно полное рецензирование и аудит кода экспертами, которые разбираются в реализации TLS/SSL. Подробности уязвимости были засекречены и не оглашались вплоть до выхода исправленных версий.
По словам создателей OpenSSLатака на основе выявленной уязвимости более чем возможна, но сам процесс ее проведения достаточно сложный. Во-первых, уязвимая OpenSSLдолжна быть установлена не только на сервере, а и у клиента, междукоторыми должен быть постоянный канал связи. При этом для сервера должны быть использованы ветки программы версий1.0.2-beta1, 1.0.1. Браузеры, которые не имеют подобных проблем: InternetExplorer,Firefox,Chrome,Safari, так как они не используют OpenSSL.
Кроме устранения главной причины, разработчики также исправили проблемные зоны в коде обработки DTLS-фрагментов (CVE-2014-0195). Проблема не серьезная, но нуждалась во вмешательстве и исправлению.
В новых версиях OpenSSLустранены следующие менее существенные уязвимости:
• CVE-2014-0221 давала возможность провести DoS-атаку, но только в клиентских приложениях, которые используют DTLS пакеты.
• CVE-2014-0198 являлась ошибкой в функции (do_ssl3_write). Уязвимость присутствовала в программах под кодовыми именами 1.0.2betaи 1.0.1 при условии, что опция SSL_MODE_RELEASE_BUFFERS включена. Но поскольку по умолчанию она выключена, провести атаку не представлялось возможным.
• CVE-2014-3470 – ошибка, которая дает возможность проведения DoS-атаки на TLS-клиентов, использующие анонимные наборы шифров ECDH.
Обновленные пакеты OpenSSLдоступны для следующих операционных систем: Ubuntu, FreeBSD,SUSEEnterpriseLinux, CentOS, RHEL, Crux, DEBIAN, Fedora, openSUSE.
В ближайшее время появятся обновленные версии для других программ: OpenBSD, Slackware, Gentoo, NetBSD.

Вы можете пропустить чтение записи и оставить комментарий. Размещение ссылок запрещено.

Оставить комментарий