neprihlásený Pondelok, 22. decembra 2014, dnes má meniny Adela   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
V OpenSSL potenciálne vážna chyba

DSL.sk, 20.4.2012


V najpoužívanejšej open source knižnici implementujúcej kryptografické algoritmy OpenSSL bola identifikovaná bezpečnostná chyba s potenciálne vážnymi a širokými dôsledkami.

Na chybu nachádzajúcu sa vo všetkých verziách OpenSSL upozornili tvorcovia knižnice aj Tavis Ormandy z Google, ktorý chybu identifikoval. Zároveň s upozornením boli samozrejme vydané nové verzie 0.9.8v, 1.0.0i a 1.0.1a opravujúce túto chybu.

Chyba sa nachádza vo funkcii asn1_d2i_read_bio používanej pri čítaní dát vo formáte ASN.1 z I/O streamov, ktoré využívajú mnohé OpenSSL funkcie čítajúce dáta zo súborov a siete, TCP/IP socketov.

Špecificky sú podľa oznámenia zraniteľné funkcie parsujúce podpísané SMIME emailové správy a funkcie parsujúce rozličné dáta v DER formáte, naopak zraniteľná nie je implementácia protokolu SSL/TLS.

Chyba je primárne spôsobená tvrdou zmenou typu premennej zo signed long na signed int. Táto hodnota sa následne používa aj pri kopírovaní bloku pamäte ako dĺžka a útočník tak môže podstrčením dát zmeniť pamäťové štruktúry a potenciálne zrejme aj spustiť zvolený kód. Podľa popisu Ormandyho je ale zneužitie chyby relatívne komplikované a či sa objaví spoľahlivý exploit kód zatiaľ nie je jasné.

Kryptografické algoritmy a OpenSSL sa samozrejme často využívajú v scenároch pracujúcich s dôležitými dátami, ktoré je potrebné zabezpečovať. Chyba tak potenciálne môže slúžiť ako vstupná brána do rozličných dôležitých systémov.

Ktoré produkty a služby využívajúce OpenSSL sú potenciálne zraniteľné zatiaľ nie je známe.




Zdieľaj na Twitteri



Najnovšie články:

Web The Pirate Bay ožil
Linux a Unix je možné hacknúť cez NTP, k dispozícii aktualizácia
NASA poslala račňový kľúč na ISS emailom
Aj Toshiba už má 6 TB disky, 7200 RPM
Aplikácia umožní využívať Android smartfón aj ako PC
Ešte nemáte darček? Technologickým hitom záveru roka je palica na selfie
Štáty majú chystať devastačný útok na sieť Tor, varujú tvorcovia
Keplerov teleskop funguje aj s dvomi zotrvačníkmi, objavil ďalšiu planétu
Novou zraniteľnosťou sa dajú hacknúť routery z Internetu, aj s vypnutým vzdialeným prístupom
Programátor Minecraftu si kúpil dom za 70 miliónov, preplatil rapera


Diskusia:
                               
 

FlashFXP vyuziva OpenSSL, ale novu verziu na download priamo na ich stranke v Customer download sekcii neponukaju.
http://img24.eu/v-1x2tnh85.png
Odpovedať Známka: -5.0 Hodnotiť:
 

precitaj si to este raz.. TLS nie je zranitelne.
Odpovedať Známka: 5.0 Hodnotiť:
 

Sorry som ako Homer. Najprv konám a az potom citam.
http://dopice.sk/2p4
Odpovedať Známka: -4.3 Hodnotiť:
 

Takze nakoniec aj u FlashFXP vysiel update OpenSSL.
Odpovedať Známka: 5.0 Hodnotiť:
 

Takze pokial pouzivam SSL/TLS, tak mozem byt v klude?
Odpovedať Známka: -4.3 Hodnotiť:
 

podla toho na co to ssl/tls vyuzivas. ak si tym kodis domacu lanku tak bud bez starosti
Odpovedať Známka: 8.5 Hodnotiť:
 

Uz aktualizovane aj v Ubuntu.

Mali by to nejak zautomalizovat tu detekciu chyb :)
Odpovedať Známka: -3.3 Hodnotiť:
 

vymysli ako, a mihnutim oka zmiznu vsetky problemy softveroveho priemyslu :)

ono problem je ze stroje vedia ratat, ale stale nevedia mysliet :) a programy nakoniec aj tak vzdy pisu obycajni omylni ludia :)
Odpovedať Známka: 7.1 Hodnotiť:
 

:))

Vela veci sa da vychytat, a tie zlozitejsie sa daju zvacsiny eliminovat spravnymi navykmi.

Vacsinou pri takychto type castoch vyhodi kompiler upozornenie (alebo bolo pouzite nieco ohavne ako reinterpret_cast v C++), ale ked programator na to nedba tak co uz.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár