Szerző: Voith Hunor

2015. március 20. 11:30:00

Tucatnyi OpenSSL hibát foltoztak

Jókora biztonsági frissítőcsomagot kapott az OpenSSL. A nyílt forrású SSL és TLS implementációban 12 sérülékenységre érkezett javítás, ezek közül kettő kapott súlyos besorolást. Az egyiket csak most, a javítás kiadásával együtt hozták nyilvánosságra, kihasználásával szolgáltatásmegtagadásos (DoS, denial of service) támadást lehet végrehajtani. A másik kiemelt hiba a régi, gyenge titkosítási kulcsokra való fallbacket lehetővé tévő FREAK.

Komoly biztonsági frissítőcsomag érkezett a népszerű, nyílt forráskódú SSL és TLS implementációhoz, az OpenSSL-hez. A tegnap kiadott dokumentáció szerint a szoftverben tizenkét sérülékenységet javítottak, melyek közül kettő kapott súlyos, kiemelt fontosságú besorolást.

Az egyiket meglehetősen nagy várakozás övezte, ugyanis a fejlesztést koordináló The OpenSSL Project már korábban jelezte, hogy egy súlyos, széles körben eddig nem ismert sérülékenységet fognak nyilvánosságra hozni. A CVE-2015-0291 jelzésű bug alkalmazásával a támadók OpenSSL 1.0.2-es szerverrel SSL vagy TLS kapcsolat létesítésekor NULL pointer eredményt kényszeríthetnek ki, amit aztán szolgáltatásmegtagatásos (DoS) támadáshoz használhatnak fel. A hiba javítására az üzlemeltetőknek az OpenSSL 1.0.2a verziójának telepítését ajánlják. A most jelzett sérülékenység támadó szándékú kihasználásáról még nem érkeztek hírek, de egy biztonsági szakember már jelezte, hogy működő példakóddal rendelkezik.

Mégis súlyos a FREAK

A The OpenSSL Project a néhány hete nyilvánosságra került FREAK sérülékenységhez is adott ki javítást, egyben a hiba súlyosságának besorolását is magas szintre emelte. A FREAK (Factoring attack on RSA-EXPORT Keys) elnevezésű támadás egy, a korai '90-es évek óta ismert, az SSL és TLS protokollokba gyárilag beépített gyengeséget aknáz ki.

Hét kedvenc előadónk az idei HWSW mobile!-ról (x) 90 fős előadó lesz a konferencián, segítve az eligazodást, kiemeltük neked a hét kedvencünket.

Kihasználásával a támadók gyakorlatilag minden olyan HTTPS kapcsolatot kompromittálni tudnak, melyeknél a szerver elfogadja az export módra (RSA_EXPORT) vonatkozó kérést és a kliens felkínálja az RSA_EXPORT gyengébb titkosítási készlet használatát vagy a CVE-2015-0204 jelzésű hibával terhelt OpenSSL-t használja. Közbeékelődéses (man-in-the-middle) típusú támadással és egyedi kód bejuttatásával kikényszeríthető a ma használtnál sokkal gyengébb 512 bites kulcsok használata, ezeket pedig mindenki által elérhető számítási kapacitással órák alatt meg lehet fejteni – az Amazon EC2-vel úgy 7 óra alatt, mindössze száz dollár ellenében.

A hibát az implementáció fejlesztői annak publikálásakor még alacsony biztonsági kockázatúnak minősítették, de az azóta végzett elemzésekből kiderült, a FREAK lényegesen több szervert érint, mint azt eredetileg gondolták. A javításhoz az OpenSSL 0.9.8, 1.0.0 és 1.0.1 verziók valamelyikének használói a szoftver ugyanezen verziószámú, de sorban zd, p és k végződésű kiadásaira kell frissíteniük.

A Microsoft, az Apple és a Cisco már kiadta saját sérülékeny termékeit érintő frissítéseket, a Google pedig már kiadta a fejlesztőknek a javítást, de annak implementációja az ökoszisztéma hatalmas mérete és magas fokú fragmentáltsága miatt viszonylag lassan halad. A mérsékelt veszélyességi besorolású hibák közül többet is DoS támadások végrehajtásához lehet felhasználni, így az OpenSSL szervert üzemeltetőknek mindenképpen érdemes a teljes listát átolvasni.

a címlapról

béta

0

Mobilappot kap a GitHub

2019. november 14. 14:49

A béta verziós app mellett a cég új értesítési felületet és több más újdonságot is bejelentett.

Hirdetés

Hét kedvenc előadónk az idei HWSW mobile!-ról

2019. november 15. 10:59

Idén 90 fős előadói gárdával készülünk a HWSW mobile! digitális termékfejlesztési konferenciára, de hogy segítsünk az eligazodásban, kiemeltük neked a hét kedvencünket.