Dnešní hackeri sa stali inteligentnými. Dáte im miernu medzeru a oni ju naplno využívajú, aby rozlúskli váš kód. Tentokrát hnev hackerov padol na OpenSSL, kryptografickú knižnicu s otvoreným zdrojom, ktorú poskytovatelia internetových služieb najčastejšie používajú.
Dnes OpenSSL vydala sériu záplat pre šesť slabých miest. Dve z týchto zraniteľností sa považujú za veľmi závažné vrátane CVE-2016-2107 a CVE-2016-2108.
CVE-2016-2017, vážna zraniteľnosť, umožňuje hackerovi spustiť útok Padding Oracle Attack. Padding Oracle Attack môže dešifrovať prenos HTTPS pre internetové pripojenie, ktoré používa šifru AES-CBC, so serverom, ktorý podporuje AES-NI.
Padding Oracle Attack oslabuje ochranu šifrovania tým, že hackerom umožňuje odosielať opakovanú žiadosť o obsah obyčajného textu o šifrovanom obsahu užitočného zaťaženia. Túto konkrétnu zraniteľnosť prvýkrát objavil Juraj Somorovsky.
Juraj v blogovom príspevku napísal: „ Z týchto chýb sme sa dozvedeli, že oprava kryptografických knižníc je rozhodujúcou úlohou a mala by byť overená pozitívnymi aj negatívnymi testami. Napríklad po prepisovaní častí vypchávkového kódu CBC musí byť server TLS testovaný na správne správanie s neplatnými vypchávkovými správami. Dúfam, že TLS-Attacker sa dá raz použiť na takúto úlohu. "
Druhá zraniteľnosť, ktorá zasiahla knižnicu OpenSSL s vysokou vážnosťou, sa nazýva CVE 2016-2018. Je to veľká chyba, ktorá ovplyvňuje a poškodzuje pamäť štandardu OpenSSL ASN.1, ktorá sa používa na kódovanie, dekódovanie a prenos údajov. Táto konkrétna zraniteľnosť umožňuje hackerom online spúšťať a šíriť škodlivý obsah cez webový server.
Aj keď zraniteľnosť CVE 2016 - 2018 bola opravená už v júni 2015, vplyv aktualizácie zabezpečenia sa objavil po 11 mesiacoch. Túto konkrétnu zraniteľnosť možno zneužiť použitím prispôsobených a falošných certifikátov SSL, riadne podpísaných certifikačnými autoritami.
OpenSSL zároveň vydala bezpečnostné záplaty pre ďalšie štyri menšie zraniteľné miesta pri pretečení. Medzi ne patria dve chyby zabezpečenia proti pretečeniu, jeden problém s vyčerpaním pamäte a jedna chyba s nízkou závažnosťou, ktorá viedla k vráteniu ľubovoľných údajov o zásobníku do vyrovnávacej pamäte.
Aktualizácie zabezpečenia boli vydané pre OpenSSl verzie 1.0.1 a OpenSSl verzie 1.0.2. Aby sa predišlo akémukoľvek ďalšiemu poškodeniu šifrovacích knižníc OpenSSL, správcom sa odporúča aktualizovať záplaty čo najskôr.
Táto správa bola pôvodne uverejnená v The Hacker News
