באג נמצא OpenSSL מאפשר לתוקפים לשמש CA (הגורם המאשר)
OpenSSL הודיע ביום שני השבוע על שחרורו הקרוב של גרסאות 1.0.2d ו 1.0.1p. מאז ה -9 אתמול, שחרורו של יולי כבר זמין הוזכר בהודעה. היא נוגעת זוהתה CVE-2015-1793 (שרשרות אלטרנטיביות זיוף תעודה) שהמסווג פגיע עם הדוד של חוקר הגבוה severity.Google אדם לנגלים ו BoringSSL בנימין דיווח על באג שבועות לפני לפרויקט OpenSSL.
הקרנל של CVE-2015-1793
לפי בהמלצת אבטחת OpenSSL הליבה של הנושא היא כי OpenSSL יכול להיכשל כדי לאמת במדויק אם תעודה מונפקת מ- CA מהימן (הגורם המאשר). זה בתורו מאפשר לתוקפים לשמש CA ולהפיץ אישורים לא חוקיים ליישום man-in-the-middle. באג זה הופך את התוקפים מסוגל להוליד ליישומים לראות SSL מהימן ופסול (ב- Secure Sockets Layer) תעודות כתקף. לפיכך, להגנה על הסודות עברו בין הלקוחות ושרתים מושגים על ידי נהלי הצפנת מושבת. יישומים לאמת את האישורים המכילים TLS / SSL / לקוחות DTLS ו- TLS / SSL / שרתי DTLS באמצעות אימות לקוח יכולים להיות מושפעים הנושא.
למעשה 1.0.2c גרסאות OpenSSL, 1.0.2ב, 1.0.1n ו 1.0.1o מושפעות מפגיעות זו.
צוות הפרויקט OpenSSL הזכיר גם גרסה כי 1.0.0 או 0.9.8 משחרר אינם מושפעים הבאג הזה.
-
שדרוגים נחוצים
- משתמשים באמצעות OpenSSL 1.0.2b / 1.0.2c צריך לשדרג 1.0.2d.
- משתמשים באמצעות OpenSSL 1.0.1n / 1.0.1o צריך לשדרג 1.0.1p.
משתתפים שאינם מושפעים
למרבה המזל, Mozilla Firefox, Apple Safari ו- Internet Explorer אינם מושפעים כמו שהם לא משתמשים OpenSSL לאמת אישורים. הם חלים ספריות ההצפנה שלהם. ובאשר של Google Chrome, היא משתמשת BoringSSL כי הוא גוגל עשה גרסה של OpenSSL בשיתוף פעולה עם מפתחי OpenSSL.
חבילות OpenSSL מופצות עם רד האט, חלק דביאן ואובונטו של הפצות לינוקס הם גם לא השפיע.
Red Hat קוד פתוח ספקית פתרונות גם עשה הודעה בנושא זה, כי גם אין להם עדכונים OpenSSL מאז יוני 2015 הם עדיין מושפעים לחלוטין מהפגיעות.