neprihlásený Nedeľa, 21. septembra 2014, dnes má meniny Matúš   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
V OpenSSL potenciálne vážna chyba

DSL.sk, 20.4.2012



V najpoužívanejšej open source knižnici implementujúcej kryptografické algoritmy OpenSSL bola identifikovaná bezpečnostná chyba s potenciálne vážnymi a širokými dôsledkami.

Na chybu nachádzajúcu sa vo všetkých verziách OpenSSL upozornili tvorcovia knižnice aj Tavis Ormandy z Google, ktorý chybu identifikoval. Zároveň s upozornením boli samozrejme vydané nové verzie 0.9.8v, 1.0.0i a 1.0.1a opravujúce túto chybu.

Chyba sa nachádza vo funkcii asn1_d2i_read_bio používanej pri čítaní dát vo formáte ASN.1 z I/O streamov, ktoré využívajú mnohé OpenSSL funkcie čítajúce dáta zo súborov a siete, TCP/IP socketov.

Špecificky sú podľa oznámenia zraniteľné funkcie parsujúce podpísané SMIME emailové správy a funkcie parsujúce rozličné dáta v DER formáte, naopak zraniteľná nie je implementácia protokolu SSL/TLS.

Chyba je primárne spôsobená tvrdou zmenou typu premennej zo signed long na signed int. Táto hodnota sa následne používa aj pri kopírovaní bloku pamäte ako dĺžka a útočník tak môže podstrčením dát zmeniť pamäťové štruktúry a potenciálne zrejme aj spustiť zvolený kód. Podľa popisu Ormandyho je ale zneužitie chyby relatívne komplikované a či sa objaví spoľahlivý exploit kód zatiaľ nie je jasné.

Kryptografické algoritmy a OpenSSL sa samozrejme často využívajú v scenároch pracujúcich s dôležitými dátami, ktoré je potrebné zabezpečovať. Chyba tak potenciálne môže slúžiť ako vstupná brána do rozličných dôležitých systémov.

Ktoré produkty a služby využívajúce OpenSSL sú potenciálne zraniteľné zatiaľ nie je známe.




Zdieľaj na Twitteri



Najnovšie články:

Apple po spustení predaja iPhonov 6 lukratívnym terčom zlodejov, v Berlíne prišla o tržby
Podľa simulácie Nvidie prvé fotky z Mesiaca môžu byť pravé, konšpirátori sa mýlia
Diváci sledujúci Joj v archíve operátora môžu byť trestne stíhaní, straší televízia
Ellison už nie je šéfom Oracle, zostáva ale technickým riaditeľom
Nové iPhony sa začali predávať, majú 1 GB RAM a 6.9 a 11.1 Wh batérie. Pohľad dovnútra
Vznikla sociálna sieť pre bohatých, so vstupným 9 tisíc
V novom Androide L budú dáta štandardne šifrované
Prestigio ide predávať LED žiarovky, bezdrôtové
Chrome pre OS X bude 64-bitový, zároveň 32-bitový skončí
S obmedzením internetových petícií nesúhlasia ani ministerstvá vnútra a financií - aktualizácia 1


Diskusia:
                               
 

FlashFXP vyuziva OpenSSL, ale novu verziu na download priamo na ich stranke v Customer download sekcii neponukaju.
http://img24.eu/v-1x2tnh85.png
Odpovedať Známka: -5.0 Hodnotiť:
 

precitaj si to este raz.. TLS nie je zranitelne.
Odpovedať Známka: 5.0 Hodnotiť:
 

Sorry som ako Homer. Najprv konám a az potom citam.
http://dopice.sk/2p4
Odpovedať Známka: -4.3 Hodnotiť:
 

Takze nakoniec aj u FlashFXP vysiel update OpenSSL.
Odpovedať Známka: 5.0 Hodnotiť:
 

Takze pokial pouzivam SSL/TLS, tak mozem byt v klude?
Odpovedať Známka: -4.3 Hodnotiť:
 

podla toho na co to ssl/tls vyuzivas. ak si tym kodis domacu lanku tak bud bez starosti
Odpovedať Známka: 8.5 Hodnotiť:
 

Uz aktualizovane aj v Ubuntu.

Mali by to nejak zautomalizovat tu detekciu chyb :)
Odpovedať Známka: -3.3 Hodnotiť:
 

vymysli ako, a mihnutim oka zmiznu vsetky problemy softveroveho priemyslu :)

ono problem je ze stroje vedia ratat, ale stale nevedia mysliet :) a programy nakoniec aj tak vzdy pisu obycajni omylni ludia :)
Odpovedať Známka: 7.1 Hodnotiť:
 

:))

Vela veci sa da vychytat, a tie zlozitejsie sa daju zvacsiny eliminovat spravnymi navykmi.

Vacsinou pri takychto type castoch vyhodi kompiler upozornenie (alebo bolo pouzite nieco ohavne ako reinterpret_cast v C++), ale ked programator na to nedba tak co uz.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár