• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Уязвимости в OpenSSL - Шо опять ?!


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Не так давно в OpenSSL сообщили о критической уязвимости в безопасности. Но на сегодняшний день было найдено еще шесть уязвимостей (помимо ранее обнаруженной «Heartbleed»), в том числе один недостаток, дающий возможность злоумышленникам (так называемым MITM злоумышленникам — от англ. man-in-the-middle, дословно «человек в середине») прослушивать зашифрованные соединения. А также другой недостаток, позволяющий злоумышленникам запускать вредоносное ПО на системах, находящихся в особой группе риска.

Давайте рассмотрим их поподробнее.

1. Фрагмент уязвимости в DTLS (сокр. от англ. Datagram Transport Layer Security, Безопасность Дэйтаграммы Транспортного Уровня), а именно: CVE-2014-0195, затрагивающий версии 0.9.8, 1.0.0 и 1.0.1, может быть использован для того, чтобы внедрить вредоносный код в уязвимый софт в приложениях или на серверах.

2. MITM уязвимость протокола SSL / TLS (CVE-2014-0224). Потенциально затрагивает всех клиентов, а также серверы, работающие на версиях 1.0.1 и 1.0.2-beta1. Степень опасности особенно высока, так как атака носит пассивный характер, и не может быть обнаружена клиентом, сервером или с помощью каких-либо сетевых контроллеров безопасности.

Консультативный центр OpenSSL рассказывает:
 "Злоумышленник, используя тщательно подготовленное установление связи может форсировать использование слабого ключевого материала у клиентов и на серверах SSL / TLS в OpenSSL. Это может использоваться для осуществления MITM атаки, где злоумышленник сможет расшифровать и модифицировать трафик от уязвимого клиента и сервера. 
Клиенты OpenSSL – уязвимы во всех версиях OpenSSL в то время, как серверы являются уязвимыми только в версиях OpenSSL 1.0.1 и 1.0.2-beta1."

Внимание: Если Вы используете OpenSSL, версия которого более ранняя, чем 1.0.1, то мы рекомендуем Вам обновить ее в качестве меры предосторожности.

Недостаток CVE-2014-0224 MITM существует еще с самого первого релиза OpenSSL. Недостаток DTLS, позволяющий удаленно запускать код, также настораживает экспертов, ведь датируется еще апрелем 2014, а раскрыт только в начале июня 2014.

Хорошая новость состоит в том, что клиенты, не использующие OpenSSL (например, такие как IE, Firefox, Chrome, iOS, Safari и др.), по словам экспертов, и вовсе не подвержены атаке с использованием CVE-2014-0224. В то же время некоторые из них считают, что ни один из вышеупомянутых багов нельзя с легкостью взять и использовать в своих целях. И это является полной противоположностью ранее найденной уязвимости, названной "Heartbleed".

Остальные четыре уязвимости вызывают в системе отказ работы служб.


Необходимо будет обновить серверы и другие системы, подключенные к Интернету для того, чтобы защитить систему от атак, связанных с вышеуказанными уязвимостями.

Пожалуйста, будьте внимательны с конфеденциальной информацией.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Закрыты очередные уязвимости:

Обновился, да они уже достали, нет это конечно хорошо что фиксят...

Но почему столько много и сколько ещё будет этих уязвимостей !Не въехал!!!
 
Верх Низ