:

Szerző: Voith Hunor

2015. március 20. 11:30

Tucatnyi OpenSSL hibát foltoztak

Jókora biztonsági frissítőcsomagot kapott az OpenSSL. A nyílt forrású SSL és TLS implementációban 12 sérülékenységre érkezett javítás, ezek közül kettő kapott súlyos besorolást. Az egyiket csak most, a javítás kiadásával együtt hozták nyilvánosságra, kihasználásával szolgáltatásmegtagadásos (DoS, denial of service) támadást lehet végrehajtani. A másik kiemelt hiba a régi, gyenge titkosítási kulcsokra való fallbacket lehetővé tévő FREAK.

Komoly biztonsági frissítőcsomag érkezett a népszerű, nyílt forráskódú SSL és TLS implementációhoz, az OpenSSL-hez. A tegnap kiadott dokumentáció szerint a szoftverben tizenkét sérülékenységet javítottak, melyek közül kettő kapott súlyos, kiemelt fontosságú besorolást.

Az egyiket meglehetősen nagy várakozás övezte, ugyanis a fejlesztést koordináló The OpenSSL Project már korábban jelezte, hogy egy súlyos, széles körben eddig nem ismert sérülékenységet fognak nyilvánosságra hozni. A CVE-2015-0291 jelzésű bug alkalmazásával a támadók OpenSSL 1.0.2-es szerverrel SSL vagy TLS kapcsolat létesítésekor NULL pointer eredményt kényszeríthetnek ki, amit aztán szolgáltatásmegtagatásos (DoS) támadáshoz használhatnak fel. A hiba javítására az üzlemeltetőknek az OpenSSL 1.0.2a verziójának telepítését ajánlják. A most jelzett sérülékenység támadó szándékú kihasználásáról még nem érkeztek hírek, de egy biztonsági szakember már jelezte, hogy működő példakóddal rendelkezik.

Mégis súlyos a FREAK

A The OpenSSL Project a néhány hete nyilvánosságra került FREAK sérülékenységhez is adott ki javítást, egyben a hiba súlyosságának besorolását is magas szintre emelte. A FREAK (Factoring attack on RSA-EXPORT Keys) elnevezésű támadás egy, a korai '90-es évek óta ismert, az SSL és TLS protokollokba gyárilag beépített gyengeséget aknáz ki.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Kihasználásával a támadók gyakorlatilag minden olyan HTTPS kapcsolatot kompromittálni tudnak, melyeknél a szerver elfogadja az export módra (RSA_EXPORT) vonatkozó kérést és a kliens felkínálja az RSA_EXPORT gyengébb titkosítási készlet használatát vagy a CVE-2015-0204 jelzésű hibával terhelt OpenSSL-t használja. Közbeékelődéses (man-in-the-middle) típusú támadással és egyedi kód bejuttatásával kikényszeríthető a ma használtnál sokkal gyengébb 512 bites kulcsok használata, ezeket pedig mindenki által elérhető számítási kapacitással órák alatt meg lehet fejteni – az Amazon EC2-vel úgy 7 óra alatt, mindössze száz dollár ellenében.

A hibát az implementáció fejlesztői annak publikálásakor még alacsony biztonsági kockázatúnak minősítették, de az azóta végzett elemzésekből kiderült, a FREAK lényegesen több szervert érint, mint azt eredetileg gondolták. A javításhoz az OpenSSL 0.9.8, 1.0.0 és 1.0.1 verziók valamelyikének használói a szoftver ugyanezen verziószámú, de sorban zd, p és k végződésű kiadásaira kell frissíteniük.

A Microsoft, az Apple és a Cisco már kiadta saját sérülékeny termékeit érintő frissítéseket, a Google pedig már kiadta a fejlesztőknek a javítást, de annak implementációja az ökoszisztéma hatalmas mérete és magas fokú fragmentáltsága miatt viszonylag lassan halad. A mérsékelt veszélyességi besorolású hibák közül többet is DoS támadások végrehajtásához lehet felhasználni, így az OpenSSL szervert üzemeltetőknek mindenképpen érdemes a teljes listát átolvasni.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

3

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.