Kolejna luka w OpenSSL. Panika całkowicie zbyteczna Strona główna Aktualności10.07.2015 19:46 Udostępnij: O autorze Piotr Maciejko @Savpether Zgodnie z poniedziałkową zapowiedzią, zespół odpowiedzialny za rozwój biblioteki OpenSSL naprawił błąd, który pozwalał na przeprowadzenie ataku typu man-in-the-middle. Całość polegała na odpowiednim spreparowaniu certyfikatów poprzez algorytm pozwalający na obejście pola CA w rozszerzeniu 'Basic Constraints'. Nie ma jednak powodów do zmartwień – luka znajdowała się w kodzie starszych wersji OpenSSL i każdy kto przeprowadza aktualizacje według zaleceń nie powinien mieć problemów. Prawidłowe certyfikaty OpenSSL są wystawiane przez Urzędy Certyfikacji (CA) i mają być gwarantem bezpieczeństwa nawiązywanych połączeń. Niestety, oprogramowanie jest pisane przez ludzi, a co za tym idzie zawiera wiele błędów, które czasami mogą okazać się bardzo niebezpieczne i powodować trudne do przewidzenia problemy. Na szczęście taka sytuacja nie miała miejsca w przypadku wykrytej w OpenSSL luki znanej również jako CVE-2015-1793. Umożliwiała ona przeprowadzenie ataku typu man-in-the-middle. Całość polegała na wykorzystaniu błędu w logice sprawdzania alternatywnych ścieżek po nieudanym stworzeniu ścieżki do głównego certyfikatu (ROOT). Żródło: https://twitter.com/maximilianhils OpenSSL podczas weryfikacji najpierw próbuje stworzyć ścieżkę do certyfikatu głównego, jeśli operacja kończy się niepowodzeniem to uruchamiany jest algorytm poszukiwania alternatywnych ścieżek i właśnie jego kod zawierał lukę. Umożliwiała ona napastnikowi obejście weryfikacji pola CA w prawidłowym certyfikacie końcowym, co prowadziło do możliwości wystawienia niezatwierdzonych przez CA certyfikatów, które były uznawane za zaufane. Błąd zawierał się w funkcji X509_verify_cert i został znaleziony przez dwóch specjalistów firmy Google – Adama Langleya i Davida Benjamina. Luka znajduje się w kodzie biblioteki OpenSSL w wydaniach oznaczonych jako 1.0.2c, 1.0.2b, 1.0.1n, i 1.0.1o. Wszystkie one powinny być już dawno zaktualizowane do nowszych dostępnych wersji. W związku z powyższym, wbrew panicznym doniesieniom niektórych serwisów internetowych, większość systemów operacyjnych i przeglądarek internetowych nie jest na atak podatna, choć oczywiście w skali całego Internetu nawet tych kilku procent nie można lekceważyć. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także BoringSSL, czyli kolejny fork OpenSSL, tym razem od Google 24 cze 2014 Łukasz Tkacz Oprogramowanie 3 LibreSSL, czyli już ponad 90 tys. linijek kodu wyleciało z OpenSSL, by nie dopuścić do powtórki z luki Heartbleed 23 kwi 2014 Adam Golański Oprogramowanie 13 Telltale Games na skraju bankructwa, finałowy odcinek The Walking Dead odwołany 22 wrz 2018 Piotr Urbaniak Sprzęt Biznes 31 Kalifornia zalążkiem prawdziwie dobrej zmiany? Koniec z botami podszywającymi się pod ludzi 3 paź 2018 Piotr Urbaniak Oprogramowanie Biznes Bezpieczeństwo 27
Udostępnij: O autorze Piotr Maciejko @Savpether Zgodnie z poniedziałkową zapowiedzią, zespół odpowiedzialny za rozwój biblioteki OpenSSL naprawił błąd, który pozwalał na przeprowadzenie ataku typu man-in-the-middle. Całość polegała na odpowiednim spreparowaniu certyfikatów poprzez algorytm pozwalający na obejście pola CA w rozszerzeniu 'Basic Constraints'. Nie ma jednak powodów do zmartwień – luka znajdowała się w kodzie starszych wersji OpenSSL i każdy kto przeprowadza aktualizacje według zaleceń nie powinien mieć problemów. Prawidłowe certyfikaty OpenSSL są wystawiane przez Urzędy Certyfikacji (CA) i mają być gwarantem bezpieczeństwa nawiązywanych połączeń. Niestety, oprogramowanie jest pisane przez ludzi, a co za tym idzie zawiera wiele błędów, które czasami mogą okazać się bardzo niebezpieczne i powodować trudne do przewidzenia problemy. Na szczęście taka sytuacja nie miała miejsca w przypadku wykrytej w OpenSSL luki znanej również jako CVE-2015-1793. Umożliwiała ona przeprowadzenie ataku typu man-in-the-middle. Całość polegała na wykorzystaniu błędu w logice sprawdzania alternatywnych ścieżek po nieudanym stworzeniu ścieżki do głównego certyfikatu (ROOT). Żródło: https://twitter.com/maximilianhils OpenSSL podczas weryfikacji najpierw próbuje stworzyć ścieżkę do certyfikatu głównego, jeśli operacja kończy się niepowodzeniem to uruchamiany jest algorytm poszukiwania alternatywnych ścieżek i właśnie jego kod zawierał lukę. Umożliwiała ona napastnikowi obejście weryfikacji pola CA w prawidłowym certyfikacie końcowym, co prowadziło do możliwości wystawienia niezatwierdzonych przez CA certyfikatów, które były uznawane za zaufane. Błąd zawierał się w funkcji X509_verify_cert i został znaleziony przez dwóch specjalistów firmy Google – Adama Langleya i Davida Benjamina. Luka znajduje się w kodzie biblioteki OpenSSL w wydaniach oznaczonych jako 1.0.2c, 1.0.2b, 1.0.1n, i 1.0.1o. Wszystkie one powinny być już dawno zaktualizowane do nowszych dostępnych wersji. W związku z powyższym, wbrew panicznym doniesieniom niektórych serwisów internetowych, większość systemów operacyjnych i przeglądarek internetowych nie jest na atak podatna, choć oczywiście w skali całego Internetu nawet tych kilku procent nie można lekceważyć. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji