Današnji hakeri postali su pametni. Daješ im malu rupu i oni to u potpunosti iskorištavaju da bi provalili tvoj kôd. Ovog puta bijes hakera pao je na OpenSSL, kriptografsku biblioteku otvorenog koda, koju najčešće koriste davatelji internetskih usluga.
Danas je OpenSSL objavio seriju zakrpa za šest ranjivosti. Dvije od tih ranjivosti smatraju se vrlo teškim, uključujući CVE-2016-2107 i CVE-2016-2108.
CVE-2016-2017, velika ranjivost omogućuje hakeru da pokrene Padding Oracle Attack. Padding Oracle Attack može dešifrirati HTTPS promet za internetsku vezu koja koristi AES-CBC šifru, s poslužiteljem koji podržava AES-NI.
Padding Oracle Attack slabi zaštitu šifriranja omogućujući hakerima da šalju ponovljeni zahtjev za tekstualni sadržaj o kriptiranom sadržaju korisnog tereta. Tu posebnu ranjivost prvi je otkrio Juraj Somorovsky.
Juraj je napisao u postu na blogu, „ Ono što smo naučili iz ovih grešaka je da je krpanje kripto knjižnica kritičan zadatak i treba ih potvrditi pozitivnim i negativnim testovima. Na primjer, nakon prepisivanja dijelova CBC prolaznog koda, TLS poslužitelj mora biti testiran na ispravno ponašanje s nevažećim porukama. Nadam se da se TLS-Attacker jednom može upotrijebiti za takav zadatak. ”
Druga ranjivost velike ozbiljnosti koja je pogodila knjižnicu OpenSSL naziva se CVE 2016-2018. Glavni je nedostatak koji utječe i oštećuje memoriju OpenSSL ASN.1 standarda koji se koristi za kodiranje, dekodiranje i prijenos podataka. Ova posebna ranjivost omogućuje mrežnim hakerima izvršavanje i širenje zlonamjernog sadržaja putem web poslužitelja.
Iako je ranjivost CVE 2016-2018 popravljena još u lipnju 2015., ali je učinak sigurnosnog ažuriranja došao do izražaja nakon 11 mjeseci. Ovu posebnu ranjivost moguće je iskoristiti upotrebom prilagođenih i lažnih SSL certifikata koje su potvrdno potpisale vlasti.
OpenSSL je također izdao sigurnosne zakrpe za četiri druge manje ugroženosti. To uključuje dvije ranjivosti koje su prepunjene, jedan problem iscrpljenosti memorije i jedan bug slabe ozbiljnosti što je rezultiralo vraćanjem proizvoljnih podataka o snopu u međuspremnik.
Objavljena su sigurnosna ažuriranja za OpenSSl verzije 1.0.1 i OpenSSl verzije 1.0.2. Kako bi izbjegli daljnja oštećenja knjižnica šifriranja OpenSSL, administratorima se savjetuje da ažuriraju zakrpe u najkraćem mogućem roku.
Ova vijest prvotno je objavljena u The Hacker News
