Nykypäivän hakkerit ovat tullut älykkäiksi. Anat heille pienen porsaanreiän ja he hyödyntävät sitä täysimääräisesti koodin murtaamiseksi. Tällä kertaa hakkereiden viha on pudonnut OpenSSL: ään, avoimen lähdekoodin salauskirjastoon, jota Internet-palveluntarjoajat käyttävät yleisimmin.
Nykyään OpenSSL on julkaissut sarjan korjauksia kuuteen haavoittuvuuteen. Kaksi näistä haavoittuvuuksista katsotaan erittäin vakaviksi, mukaan lukien CVE-2016-2107 ja CVE-2016-2108.
CVE-2016-2017, vakava haavoittuvuus antaa hakkereille mahdollisuuden aloittaa Padding Oracle Attack. Padding Oracle Attack voi salata HTTPS-liikenteen Internet-yhteydelle, joka käyttää AES-CBC-salausta, palvelimella, joka tukee AES-NI: tä.
Padding Oracle Attack heikentää salaussuojaa antamalla hakkereille lähettää toistuvan pyynnön selkeän tekstin sisällöstä salatusta hyötykuorma-sisällöstä. Juraj Somorovsky havaitsi tämän erityisen haavoittuvuuden.
Juraj kirjoitti blogiviestissä: ” Mitä olemme oppineet näistä virheistä, on se, että salauskirjastojen korjaaminen on kriittinen tehtävä ja se olisi validoitava sekä positiivisilla että negatiivisilla testeillä. Esimerkiksi sen jälkeen, kun CBC-polttokoodin osat on kirjoitettu uudelleen, TLS-palvelin on testattava oikean toiminnan suhteen virheellisillä täyteviesteillä. Toivon, että TLS-Attackeria voidaan kerran käyttää tällaiseen tehtävään. ”
Toinen erittäin vakava haavoittuvuus, joka oli osunut OpenSSL-kirjastoon, on nimeltään CVE 2016-2018. Se on suuri virhe, joka vaikuttaa ja vioittaa OpenSSL ASN.1 -standardin muistia, jota käytetään tietojen koodaamiseen, dekoodaamiseen ja siirtämiseen. Tämä erityinen haavoittuvuus antaa online-hakkereille mahdollisuuden suorittaa ja levittää haitallista sisältöä verkkopalvelimella.
CVE 2016-2018 -haavoittuvuus korjattiin jo kesäkuussa 2015, mutta tietoturvapäivityksen vaikutus on paljastunut 11 kuukauden kuluttua. Tätä erityistä haavoittuvuutta voidaan hyödyntää käyttämällä räätälöityjä ja vääriä SSL-varmenteita, jotka varmentajaviranomaiset ovat asianmukaisesti allekirjoittaneet.
OpenSSL on myös julkaissut suojauskorjaukset neljälle muulle pienelle ylivuodon haavoittuvuudelle samanaikaisesti. Näihin sisältyy kaksi ylivuotoheikkoutta, yksi muistin tyhjennysongelma ja yksi heikko vakavuusvirhe, joka johti mielivaltaisen pinotiedon palauttamiseen puskuriin.
Tietoturvapäivitykset on julkaistu OpenSSl-versioon 1.0.1 ja OpenSSl-versioon 1.0.2. Jotta vältyttäisiin OpenSSL-salauskirjastojen lisävaurioilta, järjestelmänvalvojia kehotetaan päivittämään korjaukset mahdollisimman pian.
Tämä uutinen julkaistiin alun perin The Hacker News -lehdessä
