neprihlásený Pondelok, 25. júna 2018, dnes má meniny Tadeáš   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
V OpenSSL potenciálne vážna chyba

DSL.sk, 20.4.2012


V najpoužívanejšej open source knižnici implementujúcej kryptografické algoritmy OpenSSL bola identifikovaná bezpečnostná chyba s potenciálne vážnymi a širokými dôsledkami.

Na chybu nachádzajúcu sa vo všetkých verziách OpenSSL upozornili tvorcovia knižnice aj Tavis Ormandy z Google, ktorý chybu identifikoval. Zároveň s upozornením boli samozrejme vydané nové verzie 0.9.8v, 1.0.0i a 1.0.1a opravujúce túto chybu.

Chyba sa nachádza vo funkcii asn1_d2i_read_bio používanej pri čítaní dát vo formáte ASN.1 z I/O streamov, ktoré využívajú mnohé OpenSSL funkcie čítajúce dáta zo súborov a siete, TCP/IP socketov.

Špecificky sú podľa oznámenia zraniteľné funkcie parsujúce podpísané SMIME emailové správy a funkcie parsujúce rozličné dáta v DER formáte, naopak zraniteľná nie je implementácia protokolu SSL/TLS.

Chyba je primárne spôsobená tvrdou zmenou typu premennej zo signed long na signed int. Táto hodnota sa následne používa aj pri kopírovaní bloku pamäte ako dĺžka a útočník tak môže podstrčením dát zmeniť pamäťové štruktúry a potenciálne zrejme aj spustiť zvolený kód. Podľa popisu Ormandyho je ale zneužitie chyby relatívne komplikované a či sa objaví spoľahlivý exploit kód zatiaľ nie je jasné.

Kryptografické algoritmy a OpenSSL sa samozrejme často využívajú v scenároch pracujúcich s dôležitými dátami, ktoré je potrebné zabezpečovať. Chyba tak potenciálne môže slúžiť ako vstupná brána do rozličných dôležitých systémov.

Ktoré produkty a služby využívajúce OpenSSL sú potenciálne zraniteľné zatiaľ nie je známe.


      Zdieľaj na Twitteri



Najnovšie články:

Nič nie je nemožné. Telekom zvyšuje ceny existujúcim zákazníkom, časti až o 9%
V najvýkonnejších superpočítačoch prišlo k veľkým zmenám, USA získali späť pozíciu
Japonská sonda sa blíži k asteroidu, z ktorého donesie vzorku
Na Intel CPU sa dajú kradnúť dáta ďalším útokom, iným ako Spectre a Meltdown
Expert vystrašil užívateľov ľahkým odomknutím iPhonov, mýlil sa
Apple po žalobe priznala problémy klávesníc nových MacBookov, opraví ich zdarma
Skylink umožnil Slovákom pridať Primu, teraz musí vyhodiť všetky Primy aj COOL
Paušály a balíčky 4ky oddnes platia aj v roamingu. Trikom je v nich ale menej dát
Microsoft svojvoľne ukončil podporu Windows 7 na ďalšom hardvéri
Vydanie OpenWrt / LEDE 18.06 RC1 sa posunulo na nedeľu


Diskusia:
                               
 

FlashFXP vyuziva OpenSSL, ale novu verziu na download priamo na ich stranke v Customer download sekcii neponukaju.
http://img24.eu/v-1x2tnh85.png
Odpovedať Známka: -5.0 Hodnotiť:
 

precitaj si to este raz.. TLS nie je zranitelne.
Odpovedať Známka: 5.0 Hodnotiť:
 

Sorry som ako Homer. Najprv konám a az potom citam.
http://dopice.sk/2p4
Odpovedať Známka: -4.3 Hodnotiť:
 

Takze nakoniec aj u FlashFXP vysiel update OpenSSL.
Odpovedať Známka: 5.0 Hodnotiť:
 

Takze pokial pouzivam SSL/TLS, tak mozem byt v klude?
Odpovedať Známka: -4.3 Hodnotiť:
 

podla toho na co to ssl/tls vyuzivas. ak si tym kodis domacu lanku tak bud bez starosti
Odpovedať Známka: 8.5 Hodnotiť:
 

Uz aktualizovane aj v Ubuntu.

Mali by to nejak zautomalizovat tu detekciu chyb :)
Odpovedať Známka: -3.3 Hodnotiť:
 

vymysli ako, a mihnutim oka zmiznu vsetky problemy softveroveho priemyslu :)

ono problem je ze stroje vedia ratat, ale stale nevedia mysliet :) a programy nakoniec aj tak vzdy pisu obycajni omylni ludia :)
Odpovedať Známka: 7.1 Hodnotiť:
 

:))

Vela veci sa da vychytat, a tie zlozitejsie sa daju zvacsiny eliminovat spravnymi navykmi.

Vacsinou pri takychto type castoch vyhodi kompiler upozornenie (alebo bolo pouzite nieco ohavne ako reinterpret_cast v C++), ale ked programator na to nedba tak co uz.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár