ההאקרים של ימינו הפכו חכמים. אתה נותן להם פרצה קלה והם מנצלים את מלוא זה כדי לפצח את הקוד שלך. הפעם זעמם של האקרים נפל על OpenSSL, ספריית קריפטוגרפיה קוד פתוח, הנפוצה ביותר על ידי ספקי שירותי אינטרנט.
היום פרסמה OpenSSL תיקוני סדרה עבור שש פגיעויות. שתיים מהפגיעויות הללו נחשבות לחמורות ביותר, כולל CVE-2016-2107 ו- CVE-2016-2108.
CVE-2016-2017, פגיעות חמורה מאפשרת להאקר ליזום התקפת אורקל מרופדת. ה- Oracle Attack המרופד יכול לפענח את התעבורה של HTTPS עבור חיבור לאינטרנט המשתמש בקידוד AES-CBC, עם שרת התומך ב- AES-NI.
התקנת Oracle Attack המרופדת מחלישה את הגנת ההצפנה בכך שהיא מאפשרת להאקרים לשלוח בקשות חוזרות ונשנות לתוכן טקסט רגיל אודות תוכן עומס מוצפן. פגיעות מסוימת זו התגלתה לראשונה על ידי ג'ורג 'סומורובסקי.
ג'ורג 'כתב בפוסט בבלוג, " מה שלמדנו מהבאגים האלה הוא שטיפולי ספריות קריפטו זו משימה קריטית ויש לאמת אותה עם בדיקות חיוביות כמו גם שליליות. לדוגמה, לאחר שכתב חלקים מקוד הריפוד של CBC, יש לבדוק את שרת TLS אם יש התנהגות נכונה עם הודעות ריפוד לא חוקיות. אני מקווה TLS-Attacker יכול לשמש פעם אחת למשימה כזו. "
הפגיעות השנייה בדרגת חומרה גבוהה שפגעה בספריית OpenSSL נקראת CVE 2016-2018. זהו פגם משמעותי המשפיע ומשחית את זיכרון התקן OpenSSL ASN.1 המשמש לקידוד, פענוח והעברת נתונים. פגיעות מסוימת זו מאפשרת להאקרים מקוונים לבצע ולהפיץ תוכן זדוני בשרת האינטרנט.
אמנם הפגיעות CVE 2016-2018 תוקנה כבר ביוני 2015, אך ההשפעה של עדכון האבטחה התבררה לאחר 11 חודשים. ניתן לנצל פגיעות מסוימת זו על ידי שימוש בתעודות SSL מותאמות ומזויפות, חתומות כדין על ידי רשויות ההסמכה.
OpenSSL פרסמה גם תיקוני אבטחה לארבע פגיעויות קלות נוספות של הצפת יתר בו זמנית. אלה כוללות שתי פגיעויות הצפת יתר, בעיית מיצוי זיכרון ובאג אחד בדרגת חומרה נמוכה שהביאו להחזרת נתוני ערימה שרירותיים במאגר.
עדכוני האבטחה פורסמו עבור OpenSSl גרסה 1.0.1 ו- OpenSSl גרסה 1.0.2. כדי למנוע נזקים נוספים בספריות ההצפנה של OpenSSL, מומלץ למנהלי מערכת לעדכן את התיקונים בהקדם האפשרי.
חדשות אלה פורסמו במקור ב- The Hacker News
