Frissítésért kiált az OpenSSL

Kristóf Csaba
2012. január 23., 08:40
Nyomtatás
Az OpenSSL Project fejlesztői egy rövid, de annál lényegesebb közlemény keretében egy minél előbbi biztonsági frissítésre igyekeztek ösztökélni.

Január első hetében az OpenSSL-nek olyan újabb verziói váltak elérhetővé, amelyek révén veszélyes sebezhetőségek lettek megszüntethetőek. Azonban a fejlesztők minden bizonnyal úgy látták, hogy az OpenSSL szervereken, klienseken való frissítése korántsem történik olyan ütemben, mint azt az új verziók által megszüntetett biztonsági hibák kockázatai indokolnák. Ezért egy rövid, de annál velősebb közleményben arra kértek minden érintett szervezetet és felhasználót, hogy figyeljen oda az OpenSSL patch-elésére. Annál is inkább, mivel a múlt héten is kiadtak két újabb verziót, amelyek szintén egy meglehetősen veszélyes, szolgáltatásmegtagadási támadásokra lehetőséget adó sérülékenységtől képesek megszabadítani a rendszereket.

Év eleji hibajavítások

Az OpenSSL fejlesztőinek az elmúlt hetekben akadt dolguk a biztonsági rések befoltozását illetően. Az idei első frissítés során összesen hat hibát szüntettek meg, amelyek közül az egyik Vaudenay-féle "padding oracle" támadásokra adhat lehetőséget, és bizonyos körülmények között a titkosított információk dekódolását segítheti elő. Ezt a sebezhetőséget a University of London (RHUL) két kutatója, Nadhem Alfardan és Kenny Paterson fedezték fel, akik azt tervezik, hogy februárban az NDSS (Network & Distributed System Security) rendezvényen leplezik le a nyilvánosság előtt a sérülékenységben rejlő valódi veszélyeket. A biztonsági rés a DTLS (Datagram Transport Layer Security) protokoll kezelése kapcsán merült fel, és a CBC (Cipher-block chaining) módú blokktitkosítás során segítheti a támadókat adatokhoz történő hozzáférésben.

A január 6-án megjelent 1.0.0f és 0.9.8s verziók a pading oracle sebezhetőség mellett megszüntettek három, DoS-támadásokra lehetőséget adó sebezhetőséget, egy SSL 3.0-kezelésével összefüggő biztonsági rést, valamint egy tanúsítványfeldolgozási rendellenességet is. Ez utóbbi a tanúsítványokba ágyazott, RFC 3779 formátumú adatok kezelésével volt összefüggésbe hozható, és akkor vált kihasználhatóvá, ha az érintett rendszereken korábban engedélyezték az "enable-rfc3779" konfigurációs opciót.

Még egy frissítés

A januári frissítések azonban nem értek véget az 1.0.0f és 0.9.8s verziókkal. A fejlesztők ugyanis bejelentették, hogy kiadták az 1.0.0g és a 0.9.8t változatokat, amelyek szintén a DTLS-protokollkezelési hibával összefüggésben orvosolnak egy veszélyesnek ítélt DoS-sérülékenységet.

Az OpenSSL-nek a Linux, Solaris, Mac OS X, BSD, Windows és OpenVMS kompatibilis verziói is frissítésre szorulnak.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.