Dnešní hackeři se stali chytrými. Dáte jim lehkou mezeru a plně ji využijí k roztržení vašeho kódu. Tentokrát hněv hackerů spadl na OpenSSL, kryptografickou knihovnu s otevřeným zdrojovým kódem, nejčastěji používanou poskytovateli internetových služeb.
Dnes OpenSSL vydala řadu záplat pro šest zranitelných míst. Dvě z těchto zranitelností jsou považovány za velmi závažné, včetně CVE-2016-2107 a CVE-2016-2108.
CVE-2016-2017, závažná zranitelnost, umožňuje hackerovi zahájit padding Oracle Attack. Padding Oracle Attack může dešifrovat přenos HTTPS pro připojení k internetu, který používá šifrování AES-CBC, se serverem, který podporuje AES-NI.
Padding Oracle Attack oslabuje ochranu šifrováním tím, že hackerům umožňuje posílat opakovaný požadavek na obsah prostého textu o šifrovaném obsahu užitečného zatížení. Tuto konkrétní zranitelnost poprvé objevil Juraj Somorovsky.
Juraj v blogu napsal: „ Z těchto chyb jsme se dozvěděli, že oprava kryptografických knihoven je kritickým úkolem a měla by být potvrzena pozitivními i negativními testy. Například po přepsání částí kódu CBC výplně musí být server TLS testován na správné chování s neplatnými výplňovými zprávami. Doufám, že TLS-Attacker může být jednou použit pro takový úkol. “
Druhá vysoká chyba zabezpečení, která zasáhla knihovnu OpenSSL, se nazývá CVE 2016-2018. Je to hlavní chyba, která ovlivňuje a poškozuje paměť standardu OpenSSL ASN.1 používaného pro kódování, dekódování a přenos dat. Tato konkrétní chyba zabezpečení umožňuje hackerům online spouštět a šířit škodlivý obsah přes webový server.
Ačkoli zranitelnost CVE 2016-2018 byla opravena zpět v červnu 2015, dopad aktualizace zabezpečení se však projevil po 11 měsících. Tuto konkrétní chybu zabezpečení lze využít pomocí přizpůsobených a falešných certifikátů SSL, řádně podepsaných certifikačními úřady.
OpenSSL také vydala záplaty zabezpečení pro čtyři další drobné chyby přetečení současně. Mezi ně patří dvě chyby přetečení, jeden problém s vyčerpáním paměti a jedna chyba s nízkou závažností, která vedla k vrácení libovolných dat zásobníku do vyrovnávací paměti.
Aktualizace zabezpečení byly vydány pro OpenSSl verze 1.0.1 a OpenSSl verze 1.0.2. Aby se předešlo jakémukoli dalšímu poškození šifrovacích knihoven OpenSSL, doporučuje se správcům aktualizovat záplaty co nejdříve.
Tato zpráva byla původně publikována v The Hacker News