neprihlásený Štvrtok, 31. júla 2014, dnes má meniny Ignác   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
V OpenSSL potenciálne vážna chyba

DSL.sk, 20.4.2012



V najpoužívanejšej open source knižnici implementujúcej kryptografické algoritmy OpenSSL bola identifikovaná bezpečnostná chyba s potenciálne vážnymi a širokými dôsledkami.

Na chybu nachádzajúcu sa vo všetkých verziách OpenSSL upozornili tvorcovia knižnice aj Tavis Ormandy z Google, ktorý chybu identifikoval. Zároveň s upozornením boli samozrejme vydané nové verzie 0.9.8v, 1.0.0i a 1.0.1a opravujúce túto chybu.

Chyba sa nachádza vo funkcii asn1_d2i_read_bio používanej pri čítaní dát vo formáte ASN.1 z I/O streamov, ktoré využívajú mnohé OpenSSL funkcie čítajúce dáta zo súborov a siete, TCP/IP socketov.

Špecificky sú podľa oznámenia zraniteľné funkcie parsujúce podpísané SMIME emailové správy a funkcie parsujúce rozličné dáta v DER formáte, naopak zraniteľná nie je implementácia protokolu SSL/TLS.

Chyba je primárne spôsobená tvrdou zmenou typu premennej zo signed long na signed int. Táto hodnota sa následne používa aj pri kopírovaní bloku pamäte ako dĺžka a útočník tak môže podstrčením dát zmeniť pamäťové štruktúry a potenciálne zrejme aj spustiť zvolený kód. Podľa popisu Ormandyho je ale zneužitie chyby relatívne komplikované a či sa objaví spoľahlivý exploit kód zatiaľ nie je jasné.

Kryptografické algoritmy a OpenSSL sa samozrejme často využívajú v scenároch pracujúcich s dôležitými dátami, ktoré je potrebné zabezpečovať. Chyba tak potenciálne môže slúžiť ako vstupná brána do rozličných dôležitých systémov.

Ktoré produkty a služby využívajúce OpenSSL sú potenciálne zraniteľné zatiaľ nie je známe.




Zdieľaj na Twitteri



Najnovšie články:

64-bitový výkonnejší Chrome dostupný v beta verzii
Japonci konečne začali vyšetrovať "zmiznutie" Bitcoinov z Mt. Goxu
Americká vláda zvýšila financovanie Toru, dala mu 1.8 milióna
Samojazdiace autá pustí na cesty aj Británia, od januára
Senzor sľubuje lepší spánok, od ľudí získal 1.3 milióna
V Androide extrémne zahanbujúca chyba, umožňuje získať malvéru všetky dáta bez roota
Existujúcim zákazníkom Optik 3 Telekom rýchlosť na 300 Mbps nezvýši
Stanford sľubuje znásobenie kapacity batérií, vďaka uhlíkovej ochrane
Markíza na webe ustupuje od spoplatnenia, populárne seriály budú zadarmo
Opportunity predbehlo Lunochod 2, mimo Zeme prešlo najviac


Diskusia:
                               
 

FlashFXP vyuziva OpenSSL, ale novu verziu na download priamo na ich stranke v Customer download sekcii neponukaju.
http://img24.eu/v-1x2tnh85.png
Odpovedať Známka: -5.0 Hodnotiť:
 

precitaj si to este raz.. TLS nie je zranitelne.
Odpovedať Známka: 5.0 Hodnotiť:
 

Sorry som ako Homer. Najprv konám a az potom citam.
http://dopice.sk/2p4
Odpovedať Známka: -4.3 Hodnotiť:
 

Takze nakoniec aj u FlashFXP vysiel update OpenSSL.
Odpovedať Známka: 5.0 Hodnotiť:
 

Takze pokial pouzivam SSL/TLS, tak mozem byt v klude?
Odpovedať Známka: -4.3 Hodnotiť:
 

podla toho na co to ssl/tls vyuzivas. ak si tym kodis domacu lanku tak bud bez starosti
Odpovedať Známka: 8.5 Hodnotiť:
 

Uz aktualizovane aj v Ubuntu.

Mali by to nejak zautomalizovat tu detekciu chyb :)
Odpovedať Známka: -3.3 Hodnotiť:
 

vymysli ako, a mihnutim oka zmiznu vsetky problemy softveroveho priemyslu :)

ono problem je ze stroje vedia ratat, ale stale nevedia mysliet :) a programy nakoniec aj tak vzdy pisu obycajni omylni ludia :)
Odpovedať Známka: 7.1 Hodnotiť:
 

:))

Vela veci sa da vychytat, a tie zlozitejsie sa daju zvacsiny eliminovat spravnymi navykmi.

Vacsinou pri takychto type castoch vyhodi kompiler upozornenie (alebo bolo pouzite nieco ohavne ako reinterpret_cast v C++), ale ked programator na to nedba tak co uz.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár