Nowa wersja biblioteki OpenSSL

Nowa wersja biblioteki OpenSSL

Opublikowana została właśnie nowa wersja, a właściwie to nowe wersje biblioteki kryptograficznej OpenSSL. Zawierają one wiele poprawek błędów z których osiem dotyczy bezpieczeństwa.

Trzy wersje, osiem poprawek

Autorzy projektu OpenSSL wydali dzisiaj trzy nowe wersje biblioteki oznaczone kolejno:

  • 1.0.1k,
  • 1.0.0p,
  • 0.9.8zd.

Od momentu ostatniej aktualizacji, która miała miejsce 15 października ubiegłego roku minęły już prawie trzy miesiące. W tym czasie załatano między innymi osiem podatności, które zostały opisane na stronie projektu. Żadna z nich nie została – na szczęście – sklasyfikowana jako wysoko krytyczna. Dwie otrzymały status umiarkowanych, pozostałe zaś oceniono jako nisko krytyczne.

Umiarkowany DoS

Wykorzystanie obu podatności, których krytyczność oszacowana została jako umiarkowana pozwalało na wykonanie ataku Denial of Service. Obie dotyczyły modułu implementującego Datagram Transport Layer Security (DTLS). Protokół ten bazuje na protokole Transport Layer Security (TLS) i pozwala na zabezpieczenie danych przesyłanych w transmisji opartej na wymianie datagramów (głównie UDP).

Warto zaznaczyć także, że obie te podatności związane są ze sposobem w jaki biblioteka zarządzała wykorzystywaną pamięcią operacyjną. Pierwsza z nich prowadziła do wystąpienia błędu naruszenia ochrony pamięci (segmentation fault), druga natomiast do jej wycieku (memory leak). Jak już wspomniałem, konsekwencją skutecznego wykorzystania obu błędów jest możliwość przeprowadzenia ataku DoS.

Zainteresowanych zapraszam do zapoznania się ze spisem obejmującym wszystkie poprawione błędy bezpieczeństwa. Szczególnie ciekawe (choć niełatwe w praktycznym wykorzystaniu) są podatności CVE-2014-3572 (obejście Perfect Forward Secrecy) oraz CVE-2015-0205 (uwierzytelnienie bez klucza prywatnego).

Logo projektu OpenSSL

Logo projektu OpenSSL

Zachęcam do aktualizacji biblioteki.

Podziel się:Share on Facebook
Facebook
0Tweet about this on Twitter
Twitter

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *