Valér
-1 °C
0 °C

Újabb súlyos hibák az OpenSSL-ben

2014.06.06. 12:58

Egy japán kutató jelentette be tegnap, hogy újabb komoly sebezhetőségeket fedezett fel a népszerű kriptográfiai könyvtárban, az OpenSSL-ben.

A japán szoftvercég, a Lepidum kutatója, Kikucsi Maszasi leírásában kifejti, hogy az egyik súlyos rést kihasználva egy támadó az úgynevezett man-in-the-middle módszer segítségével képes a TLS protokoll által titkosított adatforgalmat (e-mail, böngészés, VPN) visszafejteni és esetleg a tartalmát is megváltoztatni. A hiba a ChangeCipherSpec eljárásban található, a támadó a szerver és a kliens közti forgalmat monitorozva megszerezheti a gyenge kulcsokat, majd ezeket felhasználva dekódolhatja az üzeneteket, így módosíthatja is őket.

A sérülékenység a leírás szerint már az OpenSSL megjelenése óta, mintegy 16 éve jelen van a könyvtárban. Kikucsi úgy véli, hogy a hibákat a kódok felülvizsgálati rendszerének elégtelensége miatt nem fedezték fel ilyen sokáig, de azt is leírja, hogy az is probléma, hogy az SSL protokoll 3-as verziójának specifikációja nem fogalmaz elég világosan a ChangeCipherSpec tartalomtípus implementálásáról.

Mivel a kutató először az érintetteket értesítette, az OpenSSL oldalán már elérhetőek a frissítések, melyek nemcsak a japán kutató által feltárt hibákat, hanem korábban felfedezett sebezhetőségeket is orvosolnak.

Köszönjük, hogy olvasol minket!

Ha fontos számodra a független sajtó fennmaradása, támogasd az Indexet!