Kilkanaście poprawek bezpieczeństwa w OpenSSL

Kilkanaście poprawek bezpieczeństwa w OpenSSL

Od dzisiejszego poranka możemy przystąpić do aktualizacji najpopularniejszej biblioteki kryptograficznej – OpenSSL. Zapowiadane kilka dni wcześniej wydanie przynosi sporo poprawek dotyczących jej bezpieczeństwa.

Cztery nowe wersje

OpenSSL został wydany w czterech wersjach:

  • dla użytkowników wersji 1.0.2 – 1.0.2a,
  • dla 1.0.1 – 1.0.1m,
  • dla 1.0.0 – 1.0.0r,
  • dla 0.9.8 – 0.9.8zf.

Wymienione wersje zawierają kilkanaście poprawek, które zostały wdrożone od momentu opublikowania poprzedniej aktualizacji na początku stycznia bieżącego roku.

Ponownie DoS i ponownie FREAK

Spośród poprawek błędów mających wpływ na bezpieczeństwo wyróżnić warto tę – sklasyfikowaną z priorytetem wysokim – która wyeliminowała możliwość przeprowadzenia ataku DoS na serwer. Było to możliwe z powodu błędu w obsłudze renegocjacji połączenia SSL. W przypadku przesłania odpowiednio spreparowanego certyfikatu atakujący mógł wywołać błąd typu NULL pointer dereference co z kolei mogło prowadzić do ataku DoS. Podatność ta otrzymała identyfikator CVE-2015-0291 i dotyczy tylko wersji 1.0.2.

Inną ciekawostką związaną z wydaniem nowej wersji jest zmiana priorytetu z Low na High dla podatności określonej identyfikatorem CVE-2015-0204, szerzej znanej już jako FREAK. Decyzję tę podjęto, gdy okazało się, że podatność dotyczy wielu użytkowników m.in. Androida, Windowsa i systemów Apple, a jej wykorzystanie nie jest tak trudne jak początkowo zakładano.

Logo projektu OpenSSL

Logo projektu OpenSSL

Zachęcam do aktualizacji biblioteki. Szczególnie szybko, z uwagi na tę dyskusję na Twitterze, na zainstalowaniu nowszej wersji powinno zależeć użytkownikom wersji 1.0.2.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *