Сегодняшние хакеры стали умными. Вы даете им небольшую лазейку, и они в полной мере используют это для взлома вашего кода. На этот раз гнев хакеров обрушился на OpenSSL, криптографическую библиотеку с открытым исходным кодом, наиболее часто используемую интернет-провайдерами.
Сегодня OpenSSL выпустила серию патчей для шести уязвимостей. Две из этих уязвимостей считаются очень серьезными, включая CVE-2016-2107 и CVE-2016-2108.
CVE-2016-2017, серьезная уязвимость, позволяет хакеру инициировать атаку Oracle Padding. Padding Oracle Attack может расшифровать трафик HTTPS для интернет-соединения, использующего шифр AES-CBC, с помощью сервера, поддерживающего AES-NI.
Атака Oracle Padding ослабляет защиту шифрования, позволяя хакерам отправлять повторный запрос простого текстового содержимого о зашифрованном содержимом полезной нагрузки. Эта конкретная уязвимость была впервые обнаружена Юраем Соморовским.
Juraj написал в своем блоге: « Из этих ошибок мы узнали, что исправление крипто-библиотек является критически важной задачей и должно быть подтверждено как положительными, так и отрицательными тестами. Например, после переписывания частей кода заполнения CBC сервер TLS должен быть проверен на корректное поведение с недопустимыми сообщениями заполнения. Я надеюсь, что TLS-Attacker когда-то может быть использован для такой задачи. »
Вторая уязвимость высокой степени серьезности, попавшая в библиотеку OpenSSL, называется CVE 2016-2018. Это серьезный недостаток, который влияет и портит память стандарта OpenSSL ASN.1, который используется для кодирования, декодирования и передачи данных. Эта конкретная уязвимость позволяет хакерам онлайн выполнять и распространять вредоносный контент через веб-сервер.
Несмотря на то, что уязвимость CVE 2016-2018 была устранена еще в июне 2015 года, но влияние обновления безопасности обнаружилось через 11 месяцев. Эту конкретную уязвимость можно использовать, используя настраиваемые и поддельные сертификаты SSL, должным образом подписанные центрами сертификации.
OpenSSL также выпустил исправления безопасности для четырех других незначительных уязвимостей переполнения одновременно. К ним относятся две уязвимости переполнения, одна проблема исчерпания памяти и одна ошибка низкой серьезности, которая привела к тому, что данные произвольного стека возвращаются в буфер.
Обновления безопасности выпущены для OpenSSl версии 1.0.1 и OpenSSl версии 1.0.2. Чтобы избежать дальнейшего повреждения библиотек шифрования OpenSSL, администраторам рекомендуется обновлять исправления как можно скорее.
Эта новость была первоначально опубликована на The Hacker News
