Kolejna luka w OpenSSL. Panika całkowicie zbyteczna Strona główna Aktualności10.07.2015 19:46 Udostępnij: O autorze Piotr Maciejko @Savpether Zgodnie z poniedziałkową zapowiedzią, zespół odpowiedzialny za rozwój biblioteki OpenSSL naprawił błąd, który pozwalał na przeprowadzenie ataku typu man-in-the-middle. Całość polegała na odpowiednim spreparowaniu certyfikatów poprzez algorytm pozwalający na obejście pola CA w rozszerzeniu 'Basic Constraints'. Nie ma jednak powodów do zmartwień – luka znajdowała się w kodzie starszych wersji OpenSSL i każdy kto przeprowadza aktualizacje według zaleceń nie powinien mieć problemów. Prawidłowe certyfikaty OpenSSL są wystawiane przez Urzędy Certyfikacji (CA) i mają być gwarantem bezpieczeństwa nawiązywanych połączeń. Niestety, oprogramowanie jest pisane przez ludzi, a co za tym idzie zawiera wiele błędów, które czasami mogą okazać się bardzo niebezpieczne i powodować trudne do przewidzenia problemy. Na szczęście taka sytuacja nie miała miejsca w przypadku wykrytej w OpenSSL luki znanej również jako CVE-2015-1793. Umożliwiała ona przeprowadzenie ataku typu man-in-the-middle. Całość polegała na wykorzystaniu błędu w logice sprawdzania alternatywnych ścieżek po nieudanym stworzeniu ścieżki do głównego certyfikatu (ROOT). Żródło: https://twitter.com/maximilianhils OpenSSL podczas weryfikacji najpierw próbuje stworzyć ścieżkę do certyfikatu głównego, jeśli operacja kończy się niepowodzeniem to uruchamiany jest algorytm poszukiwania alternatywnych ścieżek i właśnie jego kod zawierał lukę. Umożliwiała ona napastnikowi obejście weryfikacji pola CA w prawidłowym certyfikacie końcowym, co prowadziło do możliwości wystawienia niezatwierdzonych przez CA certyfikatów, które były uznawane za zaufane. Błąd zawierał się w funkcji X509_verify_cert i został znaleziony przez dwóch specjalistów firmy Google – Adama Langleya i Davida Benjamina. Luka znajduje się w kodzie biblioteki OpenSSL w wydaniach oznaczonych jako 1.0.2c, 1.0.2b, 1.0.1n, i 1.0.1o. Wszystkie one powinny być już dawno zaktualizowane do nowszych dostępnych wersji. W związku z powyższym, wbrew panicznym doniesieniom niektórych serwisów internetowych, większość systemów operacyjnych i przeglądarek internetowych nie jest na atak podatna, choć oczywiście w skali całego Internetu nawet tych kilku procent nie można lekceważyć. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także BoringSSL, czyli kolejny fork OpenSSL, tym razem od Google 24 cze 2014 Łukasz Tkacz Oprogramowanie 3 LibreSSL, czyli już ponad 90 tys. linijek kodu wyleciało z OpenSSL, by nie dopuścić do powtórki z luki Heartbleed 23 kwi 2014 Adam Golański Oprogramowanie 13 DistroWatch przechodzi na FreeBSD. W Linuksie czegoś brak 25 sty 2020 Kamil J. Dudek Oprogramowanie IT.Pro 168 Lenovo przyznaje się do problemów z USB-C w wybranych laptopach – jest łatka 25 sty 2020 Piotr Urbaniak Oprogramowanie Sprzęt 35
Udostępnij: O autorze Piotr Maciejko @Savpether Zgodnie z poniedziałkową zapowiedzią, zespół odpowiedzialny za rozwój biblioteki OpenSSL naprawił błąd, który pozwalał na przeprowadzenie ataku typu man-in-the-middle. Całość polegała na odpowiednim spreparowaniu certyfikatów poprzez algorytm pozwalający na obejście pola CA w rozszerzeniu 'Basic Constraints'. Nie ma jednak powodów do zmartwień – luka znajdowała się w kodzie starszych wersji OpenSSL i każdy kto przeprowadza aktualizacje według zaleceń nie powinien mieć problemów. Prawidłowe certyfikaty OpenSSL są wystawiane przez Urzędy Certyfikacji (CA) i mają być gwarantem bezpieczeństwa nawiązywanych połączeń. Niestety, oprogramowanie jest pisane przez ludzi, a co za tym idzie zawiera wiele błędów, które czasami mogą okazać się bardzo niebezpieczne i powodować trudne do przewidzenia problemy. Na szczęście taka sytuacja nie miała miejsca w przypadku wykrytej w OpenSSL luki znanej również jako CVE-2015-1793. Umożliwiała ona przeprowadzenie ataku typu man-in-the-middle. Całość polegała na wykorzystaniu błędu w logice sprawdzania alternatywnych ścieżek po nieudanym stworzeniu ścieżki do głównego certyfikatu (ROOT). Żródło: https://twitter.com/maximilianhils OpenSSL podczas weryfikacji najpierw próbuje stworzyć ścieżkę do certyfikatu głównego, jeśli operacja kończy się niepowodzeniem to uruchamiany jest algorytm poszukiwania alternatywnych ścieżek i właśnie jego kod zawierał lukę. Umożliwiała ona napastnikowi obejście weryfikacji pola CA w prawidłowym certyfikacie końcowym, co prowadziło do możliwości wystawienia niezatwierdzonych przez CA certyfikatów, które były uznawane za zaufane. Błąd zawierał się w funkcji X509_verify_cert i został znaleziony przez dwóch specjalistów firmy Google – Adama Langleya i Davida Benjamina. Luka znajduje się w kodzie biblioteki OpenSSL w wydaniach oznaczonych jako 1.0.2c, 1.0.2b, 1.0.1n, i 1.0.1o. Wszystkie one powinny być już dawno zaktualizowane do nowszych dostępnych wersji. W związku z powyższym, wbrew panicznym doniesieniom niektórych serwisów internetowych, większość systemów operacyjnych i przeglądarek internetowych nie jest na atak podatna, choć oczywiście w skali całego Internetu nawet tych kilku procent nie można lekceważyć. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji