Днешните хакери станаха умни. Давате им лека вратичка и те се възползват изцяло от нея, за да взломят кода ви. Този път гневът на хакерите падна върху OpenSSL, криптографска библиотека с отворен код, най-често използвана от доставчиците на интернет услуги.
Днес OpenSSL пусна сериен патч за шест уязвимости. Две от тези уязвимости се считат за много тежки, включително CVE-2016-2107 и CVE-2016-2108.
CVE-2016-2017, сериозна уязвимост позволява на хакер да инициира Padding Oracle Attack. Padding Oracle Attack може да декриптира HTTPS трафик за интернет връзка, която използва AES-CBC шифър, със сървър, който поддържа AES-NI.
Padding Oracle Attack отслабва защитата от криптиране, като позволява на хакерите да изпращат многократни заявки за съдържание с обикновен текст за криптирано съдържание на полезен товар. Тази особена уязвимост е открита за първи път от Юрай Соморовски.
Джурай пише в публикация в блога: „ Това, което научихме от тези грешки, е, че кръпката на крипто библиотеки е критична задача и трябва да бъде утвърдена с положителни, както и отрицателни тестове. Например, след пренаписване на части от кода за подплъзване на CBC, TLS сървърът трябва да бъде тестван за правилно поведение с невалидни съобщения за подплащане. Надявам се веднъж TLS-Attacker да бъде използван за такава задача. "
Втората уязвимост с голяма тежест, ударила библиотеката на OpenSSL, се нарича CVE 2016-2018. Това е основен недостатък, който засяга и поврежда паметта на стандарта OpenSSL ASN.1, който се използва за кодиране, декодиране и прехвърляне на данни. Тази конкретна уязвимост позволява на онлайн хакерите да изпълняват и разпространяват злонамерено съдържание през уеб сървъра.
Въпреки че уязвимостта CVE 2016-2018 бе фиксирана през юни 2015 г., но въздействието на актуализацията на сигурността излезе наяве след 11 месеца. Тази конкретна уязвимост може да бъде използвана чрез използване на персонализирани и фалшиви SSL сертификати, надлежно подписани от сертифициращите органи.
OpenSSL също пусна защитни кръпки за четири други малки уязвимости едновременно. Те включват две уязвимости при препълване, един проблем с изчерпването на паметта и един бъг с ниска тежест, довел до връщането на произволни данни за стека в буфера.
Актуализациите за защита са издадени за OpenSSl версия 1.0.1 и OpenSSl версия 1.0.2. За да избегнат по-нататъшни щети на библиотеките за криптиране на OpenSSL, администраторите се съветват да актуализират лепенките възможно най-скоро.
Тази новина първоначално е публикувана в The Hacker News
