V OpenSSL potenciálne vážna chyba


DSL.sk, 20.4.2012



V najpoužívanejšej open source knižnici implementujúcej kryptografické algoritmy OpenSSL bola identifikovaná bezpečnostná chyba s potenciálne vážnymi a širokými dôsledkami.

Na chybu nachádzajúcu sa vo všetkých verziách OpenSSL upozornili tvorcovia knižnice aj Tavis Ormandy z Google, ktorý chybu identifikoval. Zároveň s upozornením boli samozrejme vydané nové verzie 0.9.8v, 1.0.0i a 1.0.1a opravujúce túto chybu.

Chyba sa nachádza vo funkcii asn1_d2i_read_bio používanej pri čítaní dát vo formáte ASN.1 z I/O streamov, ktoré využívajú mnohé OpenSSL funkcie čítajúce dáta zo súborov a siete, TCP/IP socketov.

Špecificky sú podľa oznámenia zraniteľné funkcie parsujúce podpísané SMIME emailové správy a funkcie parsujúce rozličné dáta v DER formáte, naopak zraniteľná nie je implementácia protokolu SSL/TLS.

Chyba je primárne spôsobená tvrdou zmenou typu premennej zo signed long na signed int. Táto hodnota sa následne používa aj pri kopírovaní bloku pamäte ako dĺžka a útočník tak môže podstrčením dát zmeniť pamäťové štruktúry a potenciálne zrejme aj spustiť zvolený kód. Podľa popisu Ormandyho je ale zneužitie chyby relatívne komplikované a či sa objaví spoľahlivý exploit kód zatiaľ nie je jasné.

Kryptografické algoritmy a OpenSSL sa samozrejme často využívajú v scenároch pracujúcich s dôležitými dátami, ktoré je potrebné zabezpečovať. Chyba tak potenciálne môže slúžiť ako vstupná brána do rozličných dôležitých systémov.

Ktoré produkty a služby využívajúce OpenSSL sú potenciálne zraniteľné zatiaľ nie je známe.




Najnovšie články:



Diskusia:

OpenSSL Od: karolkok | Pridané: 20.4.2012 12:56 FlashFXP vyuziva OpenSSL, ale novu verziu na download priamo na ich stranke v Customer download sekcii neponukaju. http://img24.eu/v-1x2tnh85.png Odpovedať Známka: -5.0 Hodnotiť:

Re: OpenSSL Od: _xxx | Pridané: 20.4.2012 13:01 precitaj si to este raz.. TLS nie je zranitelne. Odpovedať Známka: 5.0 Hodnotiť:

Re: OpenSSL Od: karolkok | Pridané: 20.4.2012 13:15 Sorry som ako Homer. Najprv konám a az potom citam. http://dopice.sk/2p4 Odpovedať Známka: -4.3 Hodnotiť:

Re: OpenSSL Od: karolkok | Pridané: 22.4.2012 11:42 Takze nakoniec aj u FlashFXP vysiel update OpenSSL. Odpovedať Známka: 5.0 Hodnotiť:

Chyba Od: Mumsito | Pridané: 20.4.2012 13:16 Takze pokial pouzivam SSL/TLS, tak mozem byt v klude? Odpovedať Známka: -4.3 Hodnotiť:

Re: Chyba Od: dfhdfg | Pridané: 20.4.2012 14:40 podla toho na co to ssl/tls vyuzivas. ak si tym kodis domacu lanku tak bud bez starosti Odpovedať Známka: 8.5 Hodnotiť:

dflgjsd Od: Era | Pridané: 20.4.2012 17:22 Uz aktualizovane aj v Ubuntu. Mali by to nejak zautomalizovat tu detekciu chyb :) Odpovedať Známka: -3.3 Hodnotiť:

Re: dflgjsd Od: fero taraba asdf | Pridané: 22.4.2012 3:50 vymysli ako, a mihnutim oka zmiznu vsetky problemy softveroveho priemyslu :) ono problem je ze stroje vedia ratat, ale stale nevedia mysliet :) a programy nakoniec aj tak vzdy pisu obycajni omylni ludia :) Odpovedať Známka: 7.1 Hodnotiť:

Re: dflgjsd Od: Era | Pridané: 22.4.2012 20:51 :)) Vela veci sa da vychytat, a tie zlozitejsie sa daju zvacsiny eliminovat spravnymi navykmi. Vacsinou pri takychto type castoch vyhodi kompiler upozornenie (alebo bolo pouzite nieco ohavne ako reinterpret_cast v C++), ale ked programator na to nedba tak co uz. Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár