OpenSSL'deki bulunan bir hata, saldırganlar CA gibi davranmasını sağlar (Sertifika yetkilisi)
OpenSSL açıkladı sürümleri 1.0.2d ve 1.0.1p önümüzdeki sürümü hakkında Pazartesi günü bu hafta. dün 9. yana, Duyuruda belirtildiği gibi Temmuz bırakma mevcut olmuştur. Bu tespit CVE-2015-1793 ilgilidir (Alternatif zincirler sertifika sahtecilik) yüksek severity.Google araştırmacısı Adam Langley ve BoringSSL David Benjamin ile güvenlik açığı olarak sınıflandırılır OpenSSL projesine iki hafta önce hata bildirdi.
CVE-2015-1793 Kernel
Göre OpenSSL Güvenlik Danışma konunun temel bir sertifika güvenilir bir CA'dan verilmiş ise OpenSSL doğru doğrulamak için başarısız olmasıdır (Sertifika yetkilisi). Bu da saldırganlar CA olarak çalışmak ve man-in-the-middle saldırıları uygulanması için geçersiz sertifika dağıtmak için izin verir. Bu hata güvenilmeyen ve geçersiz SSL görmek uygulamaları sokarken yeteneğine saldırganların yapar (Güvenli Yuva Katmanı) geçerli olarak sertifikalar. Böylece, kriptografik prosedürlerle gerçekleştirilir istemciler ve sunucular arasında geçen sırların korunması devre dışı. istemci kimlik doğrulaması kullanarak TLS / SSL / DTLS istemcileri ve TLS / SSL / DTLS sunucularını içeren sertifikalarını doğrulamak Uygulamalar sorundan etkilenmiş olabilir.
Aslında OpenSSL sürümleri 1.0.2c olarak, 1.0.2b, 1.0.1n ve 1.0.1o bu güvenlik açığından etkilenen.
OpenSSL Proje Ekibi de bu sürümü sözü 1.0.0 veya 0.9.8 bültenleri Bu hata etkilenmez.
-
gerekli yükseltmeleri
- OpenSSL 1.0.2b / 1.0.2c kullanarak Kullanıcılar 1.0.2d yükseltmeniz gerekiyor.
- OpenSSL 1.0.1n kullanarak Users / 1.0.1o 1.0.1p yükseltmeniz gerekiyor.
Unaffected Katılımcılar
neyse ki, Mozilla Firefox, Apple Safari, ve Internet Explorer onlar Sertifika doğrulaması için OpenSSL'i kullanmayın olarak etkilenmez. Onlar kendi kripto kütüphaneler uygulamak. Google Chrome gelince, Google içinde OpenSSL sürümü yapılmış olan BoringSSL OpenSSL geliştiricileri ile işbirliği yapmaktadır kullanır.
Red Hat ile dağıtılan OpenSSL paketleri, Linux dağıtımlarının Debian ve Ubuntu parçası da etkilenmez.
Açık kaynak çözüm sağlayıcı Red Hat ayrıca yapılan bir duyuru Hatta onlar Haziran'dan beri hiçbir OpenSSL güncellemelerini vardı bu konuda 2015 Hala bu güvenlik açığından tamamen etkilenmemiş.