Um bug encontrado em OpenSSL permite que atacantes para atuar como CA (Autoridade de Certificação)
OpenSSL anunciado na segunda-feira desta semana sobre o próximo lançamento de versões 1.0.2d e 1.0.1p. Desde ontem 9o, De julho o lançamento está disponível como mencionado no anúncio. Trata-se de detectou CVE-2015-1793 (cadeias alternativas certificado de falsificação) que é classificada como a vulnerabilidade com alta severity.Google pesquisador Adam Langley e do BoringSSL David Benjamin reportou o bug há duas semanas para o projeto OpenSSL.
A semente de CVE-2015-1793
Conforme Advisory OpenSSL Segurança o cerne da questão é que OpenSSL pode falhar para validar com precisão se um certificado é emitido por uma CA confiável (Autoridade de Certificação). Isto por sua vez permite que atacantes para atuar como CA e distribuir certificados inválidos para a implementação de ataques man-in-the-middle. Este bug faz com que os atacantes capazes de engendrar aplicações para ver SSL não confiável e inválida (Secure Sockets Layer) certificados como válida. Assim, a proteção dos segredos passados entre clientes e servidores realizadas por procedimentos de criptografia é desativada. Aplicações que verificam os certificados que contêm clientes TLS / SSL / DTLS e servidores / SSL / TLS DTLS usando autenticação do cliente pode ser afetado pelo problema.
Na verdade OpenSSL versões 1.0.2c, 1.0.2b, 1.0.1n e 1.0.1o são afectados por esta vulnerabilidade.
A equipe do projeto OpenSSL também mencionou que versão 1.0.0 ou 0.9.8 lançamentos não são afetados por esse bug.
-
atualizações necessárias
- Os usuários que utilizam OpenSSL 1.0.2b / 1.0.2c deve atualizar para 1.0.2d.
- Os usuários que utilizam OpenSSL 1.0.1n / 1.0.1o deve atualizar para 1.0.1p.
Os participantes não afetados
Felizmente, Mozilla Firefox, Apple Safari e Internet Explorer não são afetados como eles não usam OpenSSL para validação de certificado. Eles aplicam suas bibliotecas criptográficas. Como para o Google Chrome, ele usa BoringSSL que é o Google fez versão do OpenSSL em cooperar com os desenvolvedores do OpenSSL.
Os pacotes OpenSSL distribuídos com o Red Hat, Debian e Ubuntu parte das distribuições Linux também não são afetados.
Abrir provedor de soluções fonte Red Hat também fez uma anúncio sobre este tema que, mesmo que eles não tinham alterações OpenSSL desde junho 2015 eles ainda totalmente afetado por esta vulnerabilidade.