ఓపెన్ ssl https దుర్బలత్వాల కోసం పాచెస్‌ను విడుదల చేస్తుంది

Anonim

నేటి హ్యాకర్లు స్మార్ట్‌గా మారారు. మీరు వారికి కొంచెం లొసుగును ఇస్తారు మరియు వారు మీ కోడ్‌ను పగులగొట్టడానికి దాని పూర్తి ప్రయోజనాన్ని పొందుతారు. ఈ సమయంలో, హ్యాకర్ల కోపం ఓపెన్ సోర్స్ క్రిప్టోగ్రాఫిక్ లైబ్రరీ అయిన ఓపెన్ఎస్ఎస్ఎల్ పై పడింది, దీనిని సాధారణంగా ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్లు ఉపయోగిస్తున్నారు.

ఈ రోజు, ఓపెన్ఎస్ఎస్ఎల్ ఆరు దుర్బలత్వాలకు సిరీస్ పాచెస్ విడుదల చేసింది. CVE-2016-2107 మరియు CVE-2016-2108 తో సహా ఈ రెండు హాని చాలా తీవ్రంగా పరిగణించబడుతుంది.

CVE-2016-2017, తీవ్రమైన దుర్బలత్వం హ్యాకర్ పాడింగ్ ఒరాకిల్ దాడిని ప్రారంభించడానికి అనుమతిస్తుంది. పాడింగ్ ఒరాకిల్ అటాక్ AES-CBC సాంకేతికలిపిని ఉపయోగించే ఇంటర్నెట్ కనెక్షన్ కోసం HTTPS ట్రాఫిక్‌ను డీక్రిప్ట్ చేయగలదు, AES-NI కి మద్దతిచ్చే సర్వర్‌తో.

పాడింగ్ ఒరాకిల్ దాడి గుప్తీకరించిన పేలోడ్ కంటెంట్ గురించి సాదా వచన కంటెంట్ కోసం పదేపదే అభ్యర్థనను పంపడానికి హ్యాకర్లను అనుమతించడం ద్వారా గుప్తీకరణ రక్షణను బలహీనపరుస్తుంది. ఈ ప్రత్యేక దుర్బలత్వాన్ని మొదట జురాజ్ సోమోరోవ్స్కీ కనుగొన్నారు.

జురాజ్ ఒక బ్లాగ్ పోస్ట్‌లో ఇలా వ్రాశాడు, ఈ దోషాల నుండి మనం నేర్చుకున్నది ఏమిటంటే, క్రిప్టో లైబ్రరీలను ప్యాచ్ చేయడం చాలా క్లిష్టమైన పని మరియు ఇది సానుకూల మరియు ప్రతికూల పరీక్షలతో ధృవీకరించబడాలి. ఉదాహరణకు, CBC పాడింగ్ కోడ్ యొక్క భాగాలను తిరిగి వ్రాసిన తరువాత, చెల్లని పాడింగ్ సందేశాలతో సరైన ప్రవర్తన కోసం TLS సర్వర్ పరీక్షించబడాలి. అటువంటి పని కోసం ఒకప్పుడు టిఎల్ఎస్-అటాకర్ ఉపయోగించవచ్చని నేను ఆశిస్తున్నాను. "

ఓపెన్‌ఎస్‌ఎస్‌ఎల్ లైబ్రరీని తాకిన రెండవ అధిక తీవ్రతని సివిఇ 2016-2018 అంటారు. ఇది ఎన్‌కోడింగ్, డీకోడింగ్ మరియు డేటాను బదిలీ చేయడానికి ఉపయోగించే ఓపెన్‌ఎస్‌ఎస్ఎల్ ఎఎస్‌ఎన్ 1 ప్రమాణం యొక్క మెమరీని ప్రభావితం చేసే మరియు పాడుచేసే ప్రధాన లోపం. ఈ ప్రత్యేక దుర్బలత్వం ఆన్‌లైన్ హ్యాకర్లు వెబ్ సర్వర్‌లో హానికరమైన కంటెంట్‌ను అమలు చేయడానికి మరియు వ్యాప్తి చేయడానికి అనుమతిస్తుంది.

సివిఇ 2016-2018 యొక్క దుర్బలత్వం జూన్ 2015 లో తిరిగి పరిష్కరించబడినప్పటికీ, భద్రతా నవీకరణ యొక్క ప్రభావం 11 నెలల తర్వాత వెలుగులోకి వచ్చింది. అనుకూలీకరించిన మరియు నకిలీ SSL ధృవపత్రాలను ఉపయోగించడం ద్వారా ఈ ప్రత్యేక దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు, ధృవీకరణ అధికారులు సంతకం చేస్తారు.

ఓపెన్‌ఎస్‌ఎస్‌ఎల్ ఒకేసారి మరో నాలుగు చిన్న ఓవర్‌ఫ్లో దుర్బలత్వాలకు భద్రతా పాచెస్‌ను విడుదల చేసింది. వీటిలో రెండు ఓవర్‌ఫ్లో దుర్బలత్వం, ఒక మెమరీ ఎగ్జాషన్ ఇష్యూ మరియు ఒక తక్కువ తీవ్రత బగ్ ఉన్నాయి, దీని ఫలితంగా బఫర్‌లో ఏకపక్ష స్టాక్ డేటా తిరిగి వస్తుంది.

భద్రతా నవీకరణలు OpenSSl వెర్షన్ 1.0.1 మరియు OpenSSl వెర్షన్ 1.0.2 కొరకు విడుదల చేయబడ్డాయి. ఓపెన్‌ఎస్‌ఎస్‌ఎల్ ఎన్‌క్రిప్షన్ లైబ్రరీలకు మరింత నష్టం జరగకుండా ఉండటానికి, నిర్వాహకులు పాచెస్‌ను వీలైనంత త్వరగా అప్‌డేట్ చేయాలని సూచించారు.

ఈ వార్త మొదట ది హ్యాకర్ న్యూస్‌లో ప్రచురించబడింది

ఎడిటర్స్ ఛాయిస్