2. Hírek
  3. Biztonság

A frissítés ajánlott: újabb súlyos hibákat találtak az OpenSSL-ben

Egy japán kutató jelentette be tegnap, hogy újabb komoly sebezhetőségeket fedezett fel a népszerű kriptográfiai könyvtárban, az OpesSSL-ben.

A japán szoftvercég, a Lepidum kutatója, Kikucsi Maszasi leírásában kifejti, hogy az egyik súlyos rést kihasználva egy támadó az úgynevezett man-in-the-middle módszer segítségével képes a TLS protokoll által titkosított adatforgalmat (e-mail, böngészés, VPN) visszafejteni és esetleg a tartalmát is megváltoztatni. A hiba a ChangeCipherSpec eljárásban található, a támadó a szerver és a kliens közti forgalmat monitorozva megszerezheti a gyenge kulcsokat, majd ezeket felhasználva dekódolhatja az üzeneteket, így módosíthatja is őket.

A sérülékenység a leírás szerint már az OpenSSL megjelenése óta, mintegy 16 éve jelen van a könyvtárban. Kikucsi úgy véli, hogy a hibákat a kódok felülvizsgálati rendszerének elégtelensége miatt nem fedezték fel ilyen sokáig, de azt is leírja, hogy az is probléma, hogy az SSL protokoll 3-as verziójának specifikációja nem fogalmaz elég világosan a ChangeCipherSpec tartalomtípus implementálásáról.

Mivel a kutató először természetesen az érintetteket értesített, az OpenSSL oldalán már elérhetőek a frissítések, melyek nemcsak a japán kutató által feltárt hibákat, hanem korábban felfedezett sebezhetőségeket is orvosolnak.

openssl

Azóta történt

  • Shellshock: sokk a nyílt szoftverek támogatóinak

    Különlegesen súlyos sebezhetőséget fedeztek fel, mely sokmillió eszközt érinthet a világon. A javítások készülnek, de máris egyre többen kérdezik meg: hogyan maradhatott észrevétlen ez a hiba több mint húsz éven át? Elsősorban az otthoni eszközök, okostelefonok, routerek vannak nagy veszélyben.

    Biztonság 280

Előzmények