Dagens hackere har blitt smarte. Du gir dem et lite smutthull, og de drar full nytte av det for å knekke koden din. Denne gangen har hackernes vrede falt over OpenSSL, et kryptografisk bibliotek med åpen kildekode, oftest brukt av internettleverandører.
I dag har OpenSSL gitt ut en serieoppdateringer for seks sårbarheter. To av disse sårbarhetene anses som svært alvorlige, inkludert CVE-2016-2107 og CVE-2016-2108.
CVE-2016-2017, en alvorlig sårbarhet gjør at en hacker kan sette i gang et Padding Oracle Attack. Padding Oracle Attack kan dekryptere HTTPS-trafikk for en internettforbindelse som bruker AES-CBC-chiffer, med en server som støtter AES-NI.
Padding Oracle Attack svekker krypteringsbeskyttelsen ved å la hackere sende gjentatte forespørsler om ren tekstinnhold om et kryptert nyttelastinnhold. Denne spesielle sårbarheten ble først oppdaget av Juraj Somorovsky.
Juraj skrev i et blogginnlegg, " Det vi har lært av disse feilene, er at å lappe kryptobiblioteker er en kritisk oppgave og bør valideres med positive så vel som negative tester. Når for eksempel har skrevet om deler av CBC-polstringskoden, må TLS-serveren testes for korrekt oppførsel med ugyldige polstringmeldinger. Jeg håper TLS-Attacker en gang kan brukes til en slik oppgave. ”
Den andre sårbarheten med høy alvorlighet som hadde rammet OpenSSL-biblioteket kalles CVE 2016-2018. Det er en stor feil som påvirker og ødelegger minnet til OpenSSL ASN.1-standarden som brukes til koding, dekoding og overføring av data. Denne spesielle sårbarheten gjør det mulig for online hackere å utføre og spre skadelig innhold over webserveren.
Selv om sårbarheten CVE 2016-2018 ble fikset tilbake i juni 2015, men virkningen av sikkerhetsoppdateringen har kommet fram etter 11 måneder. Denne spesielle sårbarheten kan utnyttes ved å bruke tilpassede og falske SSL-sertifikater, behørig signert av sertifiseringsmyndigheter.
OpenSSL har også gitt ut sikkerhetsoppdateringer for fire andre mindre overløpssårbarheter samtidig. Disse inkluderer to overløpssårbarheter, ett problem med utmattelse av minne og en feil med lav alvorlighetsgrad som resulterte i at vilkårlige stakeldata ble returnert i bufferen.
Sikkerhetsoppdateringene er utgitt for OpenSSl versjon 1.0.1 og OpenSSl versjon 1.0.2. For å unngå ytterligere skader på OpenSSL-krypteringsbiblioteker, anbefales administratorer å oppdatere oppdateringene så snart som mulig.
Denne nyheten ble opprinnelig publisert på The Hacker News
