Zobrazit pro: mobil | klasicky
Patch, který opravuje jednu kritickou chybu, přináší další zranitelnost. Nutný je přechod na nejnovější verzi.
Novou verzi populární knihovny OpenSSL představil The OpenSSL Project. Opravuje vážnou zranitelnost, jež může vést k atakům typu DoS a který je obsažen v aktualizaci, která opravovala jinou chybu - CVE-2011-4108.
Onen původní patch byl uveřejněn začátkem ledna. Nově však obsahuje další chybu, jež zase může vést k úspěšným atakům typu DoS (odepření služby). Problém by měly řešit nové verze OpenSSL 1.0.0g a 0.9.8t.
CVE-2011-4108 popisuje vážnou zranitelnost v implementaci protokolu DTLS (Datagram Transport Layer Security) sdružením OpenSSL. Tato chyba dovoluje dešifrovat zabezpečenou komunikaci, aniž by útočník znal příslušné šifrovací klíče.
Chybal byla zjištěna Nadhemem Alfardanem a Kennym Patersonem z Information Security Group při organizaci Royal Holloway, University of London (RHUL). Stalo se tak v době, kdx pracovali na analýze nedostatků módu CBC (Cipher-block chaining).
Princip útoku, který vědci označili jako padding oracle attack, spočívá v tom, ýe se analyzují časové rozdíly, které nastávají při dešifrovacím procesu – tak prý lze obnovit ze zakódované komunikace očištěný zdroj. Podrobnosti o útoku budou sděleny v únoru na konferenci Network & Distributed System Security (NDSS) Symposium.
Uživatelé, kteří si ještě neupgradovali své OpenSSL 1.0.0f or 0.9.8s, aby se tak chránili před ataky proti svých aplikacím DTLS v rámci chyby CVE-2011-4108, by si podle odborníků měli stáhnout přímo verze OpenSSL 1.0.0g nebo 0.9.8t.
OpenSSL je dostupný pro řadu platforem - Linux, Solaris, Mac OS X, BSD, Windows či OpenVMS. Některé operační systémy OpenSSL přímo zahrnují a update tak provedou prostřednictvím svých distribučních kanálů.
Zobrazit pro: mobil | klasicky