Šiandien įsilaužėliai tapo protingi. Jūs suteikiate jiems nedidelę spragą ir jie tuo pasinaudoja, kad nulaužtų jūsų kodą. Šiuo metu įsilaužėlių rūstybė užgriuvo „OpenSSL“ - atvirojo kodo kriptografinę biblioteką, dažniausiai naudojamą interneto paslaugų teikėjų.
Šiandien „OpenSSL“ išleido keletą pataisų, skirtų šešioms spragoms. Dvi iš šių spragų laikomos labai sunkiomis, įskaitant CVE-2016-2107 ir CVE-2016-2108.
Dėl rimtos CVE-2016-2017 spragos įsilaužėlis gali inicijuoti „Padding Oracle Attack“. „Padding Oracle Attack“ gali iššifruoti HTTPS srautą interneto ryšiui, naudojančiam AES-CBC šifrą, su serveriu, palaikančiu AES-NI.
„Padding Oracle Attack“ susilpnina šifravimo apsaugą, nes įsilaužėliai leidžia pakartotinai siųsti paprasto teksto turinio užklausas apie užšifruotą naudingo krovinio turinį. Šį ypatingą pažeidžiamumą pirmiausia atrado Jurajus Somorovskis.
Juraj dienoraščio įraše rašė: „ Tai, ko mes sužinojome iš šių klaidų, yra tai, kad kriptovaliutų pataisymas yra kritinė užduotis ir turėtų būti patvirtinta atliekant teigiamus ir neigiamus testus. Pavyzdžiui, perrašius CBC papildymo kodo dalis, TLS serveris turi būti patikrintas, ar jis teisingai elgiasi su netinkamais padėklo pranešimais. Tikiuosi, kad TLS-Attacker gali būti panaudotas tokiai užduočiai atlikti. “
Antrasis labai sunkus pažeidžiamumas, kuris užklupo „OpenSSL“ biblioteką, yra vadinamas CVE 2016-2018. Tai yra didelis trūkumas, kuris daro įtaką ir sugadina „OpenSSL ASN.1“ standarto, naudojamo duomenims koduoti, dekoduoti ir perduoti, atmintį. Dėl šios ypatingos spragos internetiniai įsilaužėliai gali vykdyti ir platinti kenksmingą turinį žiniatinklio serveryje.
Nors pažeidžiamumas „CVE 2016-2018“ buvo ištaisytas dar 2015 m. Birželio mėn., Tačiau saugos naujinimo poveikis paaiškėjo po 11 mėnesių. Šią ypatingą spragą galima išnaudoti naudojant pritaikytus ir padirbtus SSL sertifikatus, tinkamai pasirašytus sertifikavimo institucijų.
„OpenSSL“ taip pat išleido saugos pataisas, skirtas tuo pačiu metu kitoms keturioms nedidelėms perpildymo spragoms. Tai apima du perpildymo pažeidžiamumus, vieną atminties išsekimo problemą ir vieną nedidelio sunkumo klaidą, dėl kurios savavališki krūvos duomenys buvo grąžinti į buferį.
Išleisti saugos naujinimai, skirti „OpenSSl“ versijai 1.0.1 ir „OpenSSl“ versijai 1.0.2. Norint išvengti tolesnės „OpenSSL“ šifravimo bibliotekų žalos, administratoriams patariama kuo greičiau atnaujinti pataisas.
Ši žinia iš pradžių buvo paskelbta „The Hacker News“
