neprihlásený Piatok, 25. apríla 2014, dnes má meniny Marek   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
V OpenSSL potenciálne vážna chyba

DSL.sk, 20.4.2012



V najpoužívanejšej open source knižnici implementujúcej kryptografické algoritmy OpenSSL bola identifikovaná bezpečnostná chyba s potenciálne vážnymi a širokými dôsledkami.

Na chybu nachádzajúcu sa vo všetkých verziách OpenSSL upozornili tvorcovia knižnice aj Tavis Ormandy z Google, ktorý chybu identifikoval. Zároveň s upozornením boli samozrejme vydané nové verzie 0.9.8v, 1.0.0i a 1.0.1a opravujúce túto chybu.

Chyba sa nachádza vo funkcii asn1_d2i_read_bio používanej pri čítaní dát vo formáte ASN.1 z I/O streamov, ktoré využívajú mnohé OpenSSL funkcie čítajúce dáta zo súborov a siete, TCP/IP socketov.

Špecificky sú podľa oznámenia zraniteľné funkcie parsujúce podpísané SMIME emailové správy a funkcie parsujúce rozličné dáta v DER formáte, naopak zraniteľná nie je implementácia protokolu SSL/TLS.

Chyba je primárne spôsobená tvrdou zmenou typu premennej zo signed long na signed int. Táto hodnota sa následne používa aj pri kopírovaní bloku pamäte ako dĺžka a útočník tak môže podstrčením dát zmeniť pamäťové štruktúry a potenciálne zrejme aj spustiť zvolený kód. Podľa popisu Ormandyho je ale zneužitie chyby relatívne komplikované a či sa objaví spoľahlivý exploit kód zatiaľ nie je jasné.

Kryptografické algoritmy a OpenSSL sa samozrejme často využívajú v scenároch pracujúcich s dôležitými dátami, ktoré je potrebné zabezpečovať. Chyba tak potenciálne môže slúžiť ako vstupná brána do rozličných dôležitých systémov.

Ktoré produkty a služby využívajúce OpenSSL sú potenciálne zraniteľné zatiaľ nie je známe.




Zdieľaj na Twitteri



Najnovšie články:

Japonci si spresnia GPS na centimetre, vlastnými satelitmi
Ďalšie Ubuntu bude utopické
Štartuje výroba 15-nm flash pamäti
Windows 8 je pre Čínu drahý, zostáva na XP a vyvíja nový linuxový OS
Google dá ďalších 100 miliónov na solárne panely na domoch
Ústavný súd na Slovensku zastavil uchovávanie dát o komunikácii
Seznamu sa nepáčia praktiky Google s Androidom
Predstavený supervýkonný CyanogenMod smartfón za 269 eur, s obmedzenou dostupnosťou
IT seriál o zázračnej bezstratovej kompresii bude pokračovať
Thunderbolt zrýchli na 40 Gbps, zmenší konektor


Diskusia:
                               
 

FlashFXP vyuziva OpenSSL, ale novu verziu na download priamo na ich stranke v Customer download sekcii neponukaju.
http://img24.eu/v-1x2tnh85.png
Odpovedať Známka: -5.0 Hodnotiť:
 

precitaj si to este raz.. TLS nie je zranitelne.
Odpovedať Známka: 5.0 Hodnotiť:
 

Sorry som ako Homer. Najprv konám a az potom citam.
http://dopice.sk/2p4
Odpovedať Známka: -4.3 Hodnotiť:
 

Takze nakoniec aj u FlashFXP vysiel update OpenSSL.
Odpovedať Známka: 5.0 Hodnotiť:
 

Takze pokial pouzivam SSL/TLS, tak mozem byt v klude?
Odpovedať Známka: -4.3 Hodnotiť:
 

podla toho na co to ssl/tls vyuzivas. ak si tym kodis domacu lanku tak bud bez starosti
Odpovedať Známka: 8.5 Hodnotiť:
 

Uz aktualizovane aj v Ubuntu.

Mali by to nejak zautomalizovat tu detekciu chyb :)
Odpovedať Známka: -3.3 Hodnotiť:
 

vymysli ako, a mihnutim oka zmiznu vsetky problemy softveroveho priemyslu :)

ono problem je ze stroje vedia ratat, ale stale nevedia mysliet :) a programy nakoniec aj tak vzdy pisu obycajni omylni ludia :)
Odpovedať Známka: 7.1 Hodnotiť:
 

:))

Vela veci sa da vychytat, a tie zlozitejsie sa daju zvacsiny eliminovat spravnymi navykmi.

Vacsinou pri takychto type castoch vyhodi kompiler upozornenie (alebo bolo pouzite nieco ohavne ako reinterpret_cast v C++), ale ked programator na to nedba tak co uz.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár