Dagens hackare har blivit smarta. Du ger dem ett litet kryphål och de drar full nytta av det för att knäcka din kod. Den här gången har hackarnas vrede fallit över OpenSSL, ett kryptografiskt bibliotek med öppen källkod, som oftast används av internetleverantörer.
Idag har OpenSSL släppt en serieplaster för sex sårbarheter. Två av dessa sårbarheter anses vara mycket allvarliga, inklusive CVE-2016-2107 och CVE-2016-2108.
CVE-2016-2017, en allvarlig sårbarhet gör det möjligt för en hackare att initiera en Padding Oracle Attack. Padding Oracle Attack kan dekryptera HTTPS-trafik för en internetanslutning som använder AES-CBC-kodning, med en server som stöder AES-NI.
Padding Oracle Attack försvagar krypteringsskyddet genom att tillåta hackare att skicka upprepad begäran om ren textinnehåll om ett krypterat nyttolastinnehåll. Denna speciella sårbarhet upptäcktes först av Juraj Somorovsky.
Juraj skrev i ett blogginlägg, ” Det vi har lärt oss av dessa buggar är att patchen av kryptobibliotek är en kritisk uppgift och bör valideras med positiva såväl som negativa test. Till exempel, efter omskrivning av delar av CBC-paddingkoden, måste TLS-servern testas för korrekt beteende med ogiltiga padding-meddelanden. Jag hoppas att TLS-Attacker en gång kan användas för en sådan uppgift. ”
Den andra sårbarheten med hög svårighetsgrad som drabbat OpenSSL-biblioteket kallas CVE 2016-2018. Det är en stor brist som påverkar och förstör minnet av OpenSSL ASN.1-standarden som används för kodning, avkodning och överföring av data. Den här sårbarheten gör det möjligt för hackare att köra och sprida skadligt innehåll över webbservern.
Även om sårbarheten CVE 2016-2018 fixades tillbaka i juni 2015, men effekterna av säkerhetsuppdateringen har kommit fram efter 11 månader. Denna speciella sårbarhet kan utnyttjas med hjälp av anpassade och falska SSL-certifikat, vederbörligen undertecknade av certifieringsmyndigheter.
OpenSSL har också släppt säkerhetsuppdateringar för fyra andra mindre överflödessårbarheter samtidigt. Dessa inkluderar två överflödessårbarheter, ett utmattningsproblem i minnet och ett fel med låg svårighetsgrad som resulterade i att godtyckliga stapeldata returnerades i bufferten.
Säkerhetsuppdateringarna har släppts för OpenSSl version 1.0.1 och OpenSSl version 1.0.2. För att undvika ytterligare skador på OpenSSL-krypteringsbibliotek rekommenderas administratörer att uppdatera korrigeringsfilerna så snart som möjligt.
Denna nyhet publicerades ursprungligen på The Hacker News
