neprihlásený Nedeľa, 28. februára 2021, dnes má meniny Zlatica
V OpenSSL objavených 6 nových chýb, jedna vážna existujúca 15 rokov

Značky: bezpečnosťOpenSSLInternet

DSL.sk, 6.6.2014


V masívne používanej open source knižnici OpenSSL implementujúcej protokol TLS / SSL pre dôveryhodnú šifrovanú komunikáciu cez Internet bolo objavených a vo štvrtok opravených šesť nových chýb.

Vývojári o tom informovali v tomto oznámení.

Výrazne najvážnejšou chybou je chyba CVE-2014-0224, ktorá umožňuje man-in-the-middle útočníkovi jednoducho dešifrovať alebo falšovať zasielané dáta. Tvorcovia OpenSSL ani objaviteľ chyby Kikuchi Masashi zatiaľ nezverejnili detailnú analýzu chyby, tú ale zverejnil na základe analýzy zmien v kóde známy Adam Langley.

Podľa Langleyho informácií sa chyba nachádza v implementácii úvodnej komunikácie TLS protokolu dohadujúcej použité šifry a vytvárajúcej kľúče. Knižnica OpenSSL totiž spracúva správy ChangeCipherSpec aj skôr ako by mala podľa protokolu a to v čase, keď ešte nemá vytvorené tajné kľúče. V dôsledku toho sa použije kľúč so samými nulami.

MITM útočník, ktorý dokáže zachytávať dáta zasielané komunikujúcimi stranami a posielať falošné pakety tváriace sa ako pakety zaslané stranami komunikácie, môže poslať vo fáze vytvárania spojenia falošné ChangeCipherSpec správy a tým donútiť OpenSSL používať kľúč známy útočníkovi. Následne môže poľahky odpočúvať prípadne modifikovať komunikáciu zabezpečenú TLS bez toho, aby klient alebo server hlásili akékoľvek bezpečnostné problémy.

Pre zneužitie chyby musí byť OpenSSL použitá zároveň na klientovi a serveri daného TLS spojenia. Hoci chyba je prítomná v OpenSSL už od prvých verzií knižnice z roku 1998, pre jej úspešné zneužitie musí mať OpenSSL používaná na serveri podľa tvorcov OpenSSL verziu minimálne 1.0.1.

Zneužitie chyby nezanecháva stopy v štandardných logoch a spätne ho tak nie je možné zistiť. Zároveň chybu ale nie je možné zneužiť na dešifrovanie browsovania po zabezpečených stránkach pri použití bežného webového prehliadača, keďže ani jeden z najpoužívanejších webových prehliadačov nevyužíva OpenSSL a pre zneužitie novej chyby je potrebné OpenSSL na serveri aj klientovi.

V nových verziách OpenSSL vydaných vo štvrtok boli ďalej opravené dve chyby v implementácii DTLS, TLS cez UDP, dve chyby pri neštandardnom nastavení SSL_MODE_RELEASE_BUFFERS a jedna DoS chyba v implementácii ECDH. Užívateľom je odporúčané prejsť na nové verzie 1.0.1h prípadne 1.0.0m alebo 0.9.8za.

OpenSSL, hlavná open source SSL implementácia používaná na Linuxe a mnohých serveroch, sa do povedomia aj širokej verejnosti dostala v apríli vďaka široko medializovanej chybe Heartbleed, ktorá umožnila viac ako dva roky bez stopy kradnúť dáta napríklad z webových serverov poskytujúcich HTTPS stránky. Jednou z príčin relatívne slabej úrovne bezpečnosti OpenSSL je poddimenzovanosť projektu, po Heartbleed tak najväčšie IT spoločnosti odštartovali finančnú podporu vývoja tejto kritickej zložky internetovej infraštruktúry.


      Zdieľaj na Twitteri



Najnovšie články:

Satelitné TV vysielanie je v týchto dňoch rušené Slnkom
Ďalšie Starlink satelity má SpaceX vyniesť v noci na pondelok
Helikoptéra na Marse beží na Linuxe
NASA zverejnila detailnú panorámu okolia Perseverance na Marse
Google použil svoj podmorský kábel na detekciu zemetrasení
Posledná verzia Windows 10 dosiahla 20%
Ohlásená prvá SD Express karta
Google bude platiť dvoch vývojárov pracujúcich len na bezpečnosti linuxového jadra
HP kupuje časť HyperX
Samsung uvedie notebook s vlastným ARM procesorom


Diskusia:
                               
 

ved ale to predsa nieje mozne .. miliony a miliony nadsencov den co den kontroluju otvoreny kod slobodneho softveru
Odpovedať Známka: 1.6 Hodnotiť:
 

Kontrolovat je jedna vec, najst chyby druha!!!
Odpovedať Známka: 6.3 Hodnotiť:
 

Takže open-source je bezpečnejší ako Windows8?
Odpovedať Známka: -3.8 Hodnotiť:
 

tvoja mamka ti nepovedala este ze ano?
Odpovedať Známka: 2.7 Hodnotiť:
 

nie, iba chyby su medializovane a hociktora bezpecnostna firm moze analyzovat kod. Pri windows 8 mozes analyzovat max tak licenciu.
Neviem co sa tu vsetci plasite ved toto je uplne normalny sposob vyvoja. Chyby sa odhaluju a opravuju.
Odpovedať Známka: 5.0 Hodnotiť:
 

presne tak
Odpovedať Hodnotiť:
 

krista!!! len nedavno som menil certifikat som sa s tym jebal pol dna. Uz sa im nato vyserem.
Odpovedať Známka: -2.2 Hodnotiť:
 

nerozculuj sa,aspon sa to naucis. ak ti to teda minule trvalo pol dna :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Zaplať si a ušetríš čas.
Odpovedať Známka: -2.0 Hodnotiť:
 

Urob si to sám, ušetríš a ešte sa aj niečomu priučíš.
Odpovedať Známka: 7.5 Hodnotiť:
 

kazdy (!) sw ma chyby. to ze je nieco open neznamena ze bez chyb ale zrejme ina bude hustota chyb medzi otvorenym a uzavretym kodom
Odpovedať Známka: 5.4 Hodnotiť:
 

tak to by som chcel vidiet tie chyby, co das do 'hello world'...

ale sranda bokom - 100x viac sa mi, ako firme, oplati investovat do closed source riesenia, kde mi niekto dava zaruky, ze tam taketo zradnosti nie su, a kde mam vybornu podporu, ako riskovat s riesenim, do ktoreho moze ktokolvek veselo pridavat zadne dvierka.
Odpovedať Známka: -8.0 Hodnotiť:
 

keby si umyselne chcel spravit bezpecnostnu chybu v hello world programe, tak neni problem :-D
Odpovedať Známka: 7.1 Hodnotiť:
 

ale suhlasim, ze niekto moze introducenut chybu do kodu, ktora moze vyzerat nevinne a omylom, pri reviewe si ju proste nikto nevsimne a uz tam ma zadne dvierka.. napr ta chyba co bola v OSXoch nedavno, ze bol zduplikovany return line a neozatvorkovane if-y, tak to vyzera ako taka nevinna chybicka, ktoru by mohol spravit ktokolvek, v reviewe je lahko prehliadnutelna a pritom keby niekto chcel, tak su to pekne zadne dvierka
Odpovedať Známka: 8.2 Hodnotiť:
 

meh, jak debil som to napisal; Chcel som napisat, ze zadne dvierka sa daju napisat ako nevinne vyzerajuca chyba, ale pritom hlavnym ucelom maju byt zadne dvierka... a je to omnoho lahsie dosiahnut pri open source projektoch, kde do toho moze kazdy minglovat
Odpovedať Známka: -7.1 Hodnotiť:
 

S prvou castou suhlasim (zadne dvierka sa daju napisat ako nevinne vyzerajuca chyba), avsak vysvetli mi, ako je to lahsie pri opensource projektoch? Opensource znamena, ze to moze hocikto reviewnut, nie ze si moze do toho hocikto vlozit co chce (resp. moze si kazdy upravit co chce, ale to neznamena ze to bude akceptovane do povodneho projektu). Napr. verzii linuxu existuje hromada, avsak vacsinou ludia doveruju a pouzivaju len tu autorizovanu Torvaldsom.

Ak som vsak zamestnanec v sukromnej firme, a navyse poznam reviewera, myslis ze je pre mna tazsie vlozit backdoor a "get away with it"? Pri closed-source sw maju vyvojari priamo nutkanie toto urobit, a su tiez ovela lahsie "motivovatelni" zvonku.
Odpovedať Známka: 9.0 Hodnotiť:
 

no neviem to najst, ale bol na internete niekde taky obrazok, ktory v zasade hovoril, ze ked spravis zmenu na zopar riadkov, tak sa ti nahrnie mrte vela reviewerov a zacnu mudrovat ako sa to dalo spravit efektivnejsie a lepsie, ale sprav zmenu na 1000 riadkov a nikto sa ti na to poriadne nepozrie; ostatne, ako vidis 15!!!! rokov tam bola chyba. Tym nehovorim, ze biznis prostredie je v tom lepsie, ale je jednoduchsie do open source zaviest umyselnu chybu, pretoze ked sa jedna trebars o zadne dvierka do Windowsu, musis si najst zamestnanca a podplatit; Ked chces zadne dvierka do OpenSSL, proste pushnes branch s mrte vela zmenami, malou nevinnou neviditelnou chybou a mas zadne dvierka
Odpovedať Známka: -0.6 Hodnotiť:
 

Zaujmavy nazor.
Odpovedať Známka: 2.5 Hodnotiť:
 

a uz si skusal pushnut mrte vela zmien do niecoho ako openssl? nehovoriac o tom,ze aby si presiel prvou fazou nedovery developerov musis pred tym pridavat kvalitny a spolahlivy kus kodu. nie len tak hocico.
Odpovedať Známka: 1.1 Hodnotiť:
 

LOL, to si naozaj myslis ze ked pushnes vela zmien, tak ti to len tak akceptuju? Skusal si niekedy postal pull request do nejakeho seriozneho projektu? V pripade Linuxu, napr., existuje hierarchia ludi (na cele s Torvaldsom), ktori autorizuju zmeny. Jednotlive moduly maju na starosti ini ludia (ktori sa v tom dobre vyznaju) a rozhoduju o tom koho akceptuju a koho nie.

Mam pocit ze predstava mnohych ludi o fungovani opensource je mylna. Poviem to este raz: opensource nehovori nic o akceptovani kodu od tretich stran, znamena to iba ze kod je zverejneny. Sice vela opensource projektov akceptuje aj zmeny od tretich stran (po review-e), autori inych projektov neprijmu zvonku nic. Nezamienajme si teda "opensource" s nejakou formou managementu pull-requestov.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ale no tak. Praveze tvoja predstava o nepriestrelnosti open source projektov je velmi naivna :-).

Vela open source projektov akceptuje commity od tretich stran vratane Linux kernelu, openssl a podobne. Pokial je tvoj patch dostatocne featuroidny tak ma velmi velku sancu dostat sa dnu.
Odpovedať Známka: 5.0 Hodnotiť:
 

Problem ktory opisujes je v managemente a nie je nijak nutne spojeny s opensource. Kazdy si samozrejme sam zodpoveda za politiku prijimania pull-requestov, seriozne projekty vsak maju niekolko urovni review-ov, a uplne prva podmienka je aby bol dany clovek znamy a doveryhodny. Ak citas Linux mailing listy, tak vidis ze akceptovanie featur nie je take jednoduche a casto su odmietane aj nezavadne requesty, len pre ich nizsiu formalnu kvalitu.

Opensource neznamena automaticky nejaku bezpecnost, ale poskytuje moznost verifikacie. Oproti tomu closed sw ti nedovoluje ziadnym sposobom reviewnut zdrojaky a vsetko je pred tebou zamerne a vopred skryte. Taketo prostredie je urcite aj viac motivujuce pre backdoor umysly.
Odpovedať Hodnotiť:
 

Tak to veru nie, nie su to chyby ktore sa prehliadaju. Aj primitivna staticka analyza, ktoru ma kazde normalne IDE (t.j. nie notepad xxx) ti rovno minimalne oznami ako warning a pri "spravnejsom" nastaveni ani neskompiluje a niet tej p*ci, ze by to to dovolilo commitnut resp. ze by presiel build.
Inak maju nastavene procesy proste zle, lebo toto sa robi aj pri "trapnych business projektoch" nie to pri kniznici (nastroji) na zabezpecenie komunikacie (informacii).
Odpovedať Známka: 3.3 Hodnotiť:
 

ktora firma ti dava zaruky? ved aj sam MS ma v eule zakotvene, ze za nic neruci.
Odpovedať Známka: 9.3 Hodnotiť:
 

tiez vy som to rad vedel. ovsem ak by mu take nieco niektora firma podpisala tak sa za produkt a podporu nedoplati.
Odpovedať Známka: 10.0 Hodnotiť:
 

vyborna podpora ANO
zaruka ? PROSIM UVED PRODUKT !
taky windwos zadne dvierka ani nepotrebuje aby bol zranitelny ... ja sam mam firmu ktora vyuziva freeBSD,linux,windows servery no tvrdit ze jedno je lepsie ako druhe by som sa neodvazil pretoze vsetko ma svoju specificku ulohu a svoje urcenie v takom pripade si z kazdeho vyberiem to najlepsie aby navzajom co mozno najviac eliminovali svoje negativa ;)
Odpovedať Známka: 8.6 Hodnotiť:
 

lenze chyby v uzavretom kode nevidi cely svet, len velmi mala skupina ludi
Odpovedať Známka: 5.4 Hodnotiť:
 

Preto bola opravena hned ako sa nasla
Odpovedať Známka: 6.8 Hodnotiť:
 

po 15 rokoch
Odpovedať Známka: -1.5 Hodnotiť:
 

Chapem ze deviataci maju problem s pochopenim pisaneho textu. Preto ti vysvetlim. Chybu nasli TERAZ a opravili ju TERAZ.
Odpovedať Známka: 5.7 Hodnotiť:
 

ONI ju nasli teraz, kto ju nasiel uz pred par rokmi, o tom nevies nic...
Odpovedať Známka: 5.0 Hodnotiť:
 

napriklad pri windowsoch je nieco ine? za objavenie a nahasenie bezpecnostnej chyby ti da microsoft podakovanie, na ciernom trhu zato mozes vyrobit peniaze tak potom??
Odpovedať Známka: 5.4 Hodnotiť:
 

Ktoré veci jemu sa zdajú naraz čo mne sa nezdá naraz? nie naraz. TERAZ.
Odpovedať Známka: 5.6 Hodnotiť:
 

No a po case nasli chybu. V tom je to super nie? Skus najst chybu niekde vo widlach...
Odpovedať Známka: 5.8 Hodnotiť:
 

ved chyby vo widlach su velmi casto oznamovane a patchovane, o com davas?
Odpovedať Známka: -3.9 Hodnotiť:
 

Oznamované sú veľmi často, to je pravda, ale patchované prinajlepšom raz za mesiac no niekedy aj po trištvrte roku.
Odpovedať Známka: 7.3 Hodnotiť:
 

a niekedy az po ukonceni podpori OS
Odpovedať Známka: 8.9 Hodnotiť:
 

a niekedy ani roky sa neobtazuju chybu opravit... :)
Odpovedať Známka: 10.0 Hodnotiť:
 

A 4/6 celkových chýb ani nebolo zverejnených
Odpovedať Známka: 8.8 Hodnotiť:
 

teda NECELE 2/3??!!1
Odpovedať Známka: 10.0 Hodnotiť:
 

to mi pripomenulo vtip ako jano kelna pride do pizzerky a na otazku casnicky ci to chce nakrajat na 4 alebo 8 kuskov vravi ze radsej iba styri lebo osem by uz nezjedol
Odpovedať Známka: 7.1 Hodnotiť:
 

ok, pointa bola, ze nepovedal pravdu s tym, ze najdi chybu vo widlach, ze to je nejake nemozne
Odpovedať Hodnotiť:
 

a trvalo to len 15 rokov...
/ako, mne je to jedno, nechapem ako sa dakto moze hadat za, alebo proti dakeu OS - vsetko je to v podstate to iste/
Odpovedať Známka: -3.3 Hodnotiť:
 

Tu sa dozvies preco je openssl take derave.
https://www.youtube.com/watch?v=oM6S7FEUfkU

Odpovedať Hodnotiť:
 

ze OpenSSL 1.0.1 by sa mala premenovat na "NSA special edition" ;)
Odpovedať Známka: 7.1 Hodnotiť:
 

... co si vybrat, DSL.sk predstavuje utok ako lahko realizovatelny, taky engadget.com to az tak ruzovo nevidi:

"The extent of the issue is extremely limited because we're talking about specific versions of OpenSSL server. Plus, you need to be using that same server software on a client application, and the attack itself is quite a complicated affair."

http://goo.gl/TyFnd6
Odpovedať Známka: 7.1 Hodnotiť:
 

Čo si vybrať? Ja si vyberám cukrovinky čierny princ z prvého výkladu.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ja si vyberam pani moderatorku, zabalte mi ju do cierneho vreca, dakujem!
Odpovedať Známka: 10.0 Hodnotiť:
 

No, ako vidim, OpenSSL je este stale open. :)
Odpovedať Známka: 10.0 Hodnotiť:
 

vyzera, akoby verzie 1.x platil NSA. zlata 0.9 :-)
pre tych so slabsim chapanim textu: chyba sice bola v kode uz 15 rokov, ale dakto o nu zakopol az teraz a navyse pouzitelna je len pre TLS.
pre tych este jednoduchsich - kazdy SW ma chyby. uz teraz, ked ho pisete ma chyby. o par rokov si dakto vsimne, ze tam tu chybu mate, ked zacne daco haprovat.
Odpovedať Známka: 0.9 Hodnotiť:
 

Thanks, captain Obvious!
Odpovedať Známka: 7.1 Hodnotiť:
 

cim viac bude lin percentualne popularnejsi,teda zaujimavejsi pre hackerov,tym viac ciyb sa v nom tak ako u win postupne ponachodi...zatial je pomer chyb k win 1:10 priamoumerne k poctu uzivatelov spominanych OS
Odpovedať Známka: -2.5 Hodnotiť:
 

what a retard :D
Odpovedať Známka: -10.0 Hodnotiť:
 

yes you are m)))
Odpovedať Známka: 6.7 Hodnotiť:
 

a teraz gpg :D alebo radsej nie, lebo este nahodou zistime, ze podpisy na linux distrach vobec nic neznamenaju
Odpovedať Známka: 7.1 Hodnotiť:

Pridať komentár