Od dzisiejszego poranka możemy przystąpić do aktualizacji najpopularniejszej biblioteki kryptograficznej – OpenSSL. Zapowiadane kilka dni wcześniej wydanie przynosi sporo poprawek dotyczących jej bezpieczeństwa.
Cztery nowe wersje
OpenSSL został wydany w czterech wersjach:
- dla użytkowników wersji 1.0.2 – 1.0.2a,
- dla 1.0.1 – 1.0.1m,
- dla 1.0.0 – 1.0.0r,
- dla 0.9.8 – 0.9.8zf.
Wymienione wersje zawierają kilkanaście poprawek, które zostały wdrożone od momentu opublikowania poprzedniej aktualizacji na początku stycznia bieżącego roku.
Ponownie DoS i ponownie FREAK
Spośród poprawek błędów mających wpływ na bezpieczeństwo wyróżnić warto tę – sklasyfikowaną z priorytetem wysokim – która wyeliminowała możliwość przeprowadzenia ataku DoS na serwer. Było to możliwe z powodu błędu w obsłudze renegocjacji połączenia SSL. W przypadku przesłania odpowiednio spreparowanego certyfikatu atakujący mógł wywołać błąd typu NULL pointer dereference co z kolei mogło prowadzić do ataku DoS. Podatność ta otrzymała identyfikator CVE-2015-0291 i dotyczy tylko wersji 1.0.2.
Inną ciekawostką związaną z wydaniem nowej wersji jest zmiana priorytetu z Low na High dla podatności określonej identyfikatorem CVE-2015-0204, szerzej znanej już jako FREAK. Decyzję tę podjęto, gdy okazało się, że podatność dotyczy wielu użytkowników m.in. Androida, Windowsa i systemów Apple, a jej wykorzystanie nie jest tak trudne jak początkowo zakładano.
Zachęcam do aktualizacji biblioteki. Szczególnie szybko, z uwagi na tę dyskusję na Twitterze, na zainstalowaniu nowszej wersji powinno zależeć użytkownikom wersji 1.0.2.