neprihlásený Sobota, 7. decembra 2024, dnes má meniny Ambróz
V OpenSSL opäť kritická chyba, umožňuje sa preukázať falošným certifikátom

Značky: OpenSSLSSL / TLSbezpečnosťInternet

DSL.sk, 10.7.2015


V knižnici OpenSSL implementujúcej protokol SSL / TLS používaný pre šifrovanie dátovej komunikácie viacerých protokolov vrátane HTTPS pre prístup k zabezpečeným webovým stránkam sa nachádza ďalšia vážna bezpečnostná chyba.

Tvorcovia to oznámili vo štvrtok.

Bezpečnosť SSL / TLS spojení medzi dvomi predtým nekomunikujúcimi stranami zabezpečujú certifikáty s použitím asymetrického šifrovania vydávané v prípade použitia na serveroch pre jednotlivé domény. Certifikáty sú vydávané certifikačnými autoritami a kryptograficky podpisované za vzniku certifikačnej reťaze, cesty, od koncového certifikátu pre doménu až po jeden z dôveryhodných certifikátov certifikačných autorít priamo zabudovaný v softvéroch.

Napríklad pri návšteve webovej HTTPS stránky prehliadač užívateľa skontroluje, či sa server preukazuje platným riadne podpísaným certifikátom. To garantuje, že naozaj komunikuje so serverom patriacim vlastníkovi navštívenej domény.

V OpenSSL sa ale nachádza chyba, ktorá overí ako platný aj v skutočnosti neplatný certifikát. Konkrétne overí ako platný certikát, ktorý je podpísaný obyčajným koncovým certifikátom už bez príznaku a povolenia podpisovať ďalšie certifikáty.

Prichádza k tomu pri snahe OpenSSL nájsť platnú certifikačnú cestu druhýkrát po prvom neúspešnom pokuse vytvoriť platnú certifikačnú cestu. Pri druhom pokuse už ale nie je kontrolované, či podpisujúci certifikát má nastavený príznak CA povoľujúci mu podpisovať ďalšie certifikáty.

Útočník vlastniaci platný certifikát si tak môže vytvoriť certifikát pre úplne ľubovoľnú doménu, ktorý považuje knižnica OpenSSL za platný. Útočník sa tak pri skombinovaní s Man-In-The-Middle útokom môže voči klientského softvéru využívajúcemu OpenSSL vydávať za ľubovoľný webový alebo iný server. Podobne si je možné vytvárať falošné klientské certifikáty.

Chyba sa nachádza len v posledných verziách OpenSSL 1.0.2b, 1.0.2c, 1.0.1n, 1.0.1o vydaných v júni a opravená je v nových verziách 1.0.2d a 1.0.1p. V stále podporovaných verziách 0.9.8 a 1.0.0 sa nenachádza.

Hoci chyba sama o sebe je vážna, jej praktický dopad nie je zďaleka taký veľký ako v prípade Heartbleed. OpenSSL sa totiž využíva najmä na serveroch, voči ktorým je chybu možné zneužiť len preukázaním sa falošným klientským certifikátom. Takýto spôsob autentifikácie sa ale masovo nevyužíva.

V klientských softvéroch vrátane najpoužívanejších webových prehliadačov sa väčšinou používajú iné knižnice. Chrome využíval OpenSSL, už pred časom prešiel ale na jej vlastný fork BoringSSL a chyba sa do tejto verzie nepreniesla. OpenSSL používa v niektorých verziách aj Android, chyba sa tu podľa Google rovnako nenachádza.


      Zdieľaj na Twitteri



Najnovšie články:

Pripravuje sa nová verzia systému pre routery OpenWrt 24.10, k dispozícii kandidát na vydanie
HAMR disky sa majú začať konečne masovo dodávať
Linuxové jadro 6.12 označené za LTS, piatim LTS verziám skončí podpora naraz
NASA opäť posunula termín pristátia posádky na Mesiaci
Chrome na Androide za menej ako dva roky zdvojnásobil výkon
Vydaný minimalistický Alpine Linux 3.21
Microsoft nezmierni HW požiadavky pre Windows 11, bude stále vyžadovať TPM 2.0
V Španielsku navrhujú smartfóny nedávať deťom a dať na ne upozornenia na zdravotné riziká
Bitcoin dosiahol novú rekordnú cenu nad 100-tisíc dolárov
Novým šéfom NASA bude vesmírny turista cestujúci so SpaceX


Diskusia:
                               
 

Ještě že tady používáme http, tam ta chyba nehrozí.
Odpovedať Známka: 10.0 Hodnotiť:
 

ale nemas istotu ze citas skutocne dsl.sk
co ked sem zajtra budes chciet prist ale v skutocnosti budes presmerovany na servery piana tvariace sa ako dsl.sk a precitas si tu clanok o tom ako je piano super, ako funguje a ze aj dsl cez nich spoplatni obsah?
Odpovedať Známka: 10.0 Hodnotiť:
 

to sa predsa nemoze stat, ved predsa vsetci citatelia dsl klikaju na reklamy
Odpovedať Známka: 10.0 Hodnotiť:
 

kua si ma vystrasil, odteraz vypinam adblock a zacnem klikat na tie reklamy
Odpovedať Známka: 7.1 Hodnotiť:
 

mudro hutoris ... i vypnem aj ja adblock pre tuto domenu ...
Odpovedať Hodnotiť:
 

na dsl su reklamy?
Odpovedať Známka: 10.0 Hodnotiť:
 

trosku
Odpovedať Známka: 10.0 Hodnotiť:
 

a hla! tajomstvo open source zvestovane!
vecna chvala zdrojakom, do ktorych kazdy vidi!
cest aj komunite, ktore kazdy kontroluje!
ucta vsetkym, ktory nam ponukaju bezchybny kod!

naveky amen!
Odpovedať Známka: -5.1 Hodnotiť:
 

veru a vecna slava open source, do ktoreho moze kazdy prispiet vlastnou bezpecnostnou chybou ;) ... amen ...
Odpovedať Známka: -4.6 Hodnotiť:
 

Prave vdaka OpenSource sa o tych chybach dozvies a su nasledne opravene... Dilino.
Odpovedať Známka: 5.6 Hodnotiť:
 

Ale čo nepovieš. Mne to pripadá presne opačne.
Čím viac hláv, tým viac kapusty...
Odpovedať Známka: -1.4 Hodnotiť:
 

kapusta je predsa dobra
Odpovedať Známka: 8.7 Hodnotiť:
 

Kapusta je sice bubak ale nic vam nespravi. HS
Odpovedať Hodnotiť:
 

Ked ty do openSSL dokazes nieco pripisat a bude to v dalsej verzii, tak ta pokojne aj pohonkam, ale inak bud potíšku ;-)
Odpovedať Známka: 4.5 Hodnotiť:
 

Každý opensource projekt má svojho Mainteinera nemože sa stať že ktokolvek môže doňho prispievať lubovolne. Každý ale može kód forknuť a založiť si napríklad svoj RealyOpenAndFreeSSL
Odpovedať Známka: 10.0 Hodnotiť:
 

ROAR-SSL... na ten by som presiel
Odpovedať Hodnotiť:
 

a nebodaj si cakal ze open source je dokonale a neobsahuje ziadne chyby?
sklamem ta, neexistuje nic take ako dokonaly kod. open source mal, ma a bude mat problemy, viac aj menej vazne. stale je to ale lepsie ako proprietarny kod. hlavne od spolocnosti, ktore po objaveni chyby ju nevedia odstranit skor ako tyzden po jej zverejneni.
v openSSL ocakavaj update este dnes
Odpovedať Známka: 6.7 Hodnotiť:
 

Wav... a títo čo také dokážu zodpovedne opraviť a kedy? Neporovnávaj obrovské produkty s miliardu zákazníkov s nejakými prďolami!
Odpovedať Známka: -6.7 Hodnotiť:
 

Ty inteligent, dočítať až po "ešte dnes" je už nad tvoje schopnosti?
Odpovedať Známka: 6.7 Hodnotiť:
 

Ty sa nauč najskôr čítať vôbec.
Odpovedať Známka: -6.7 Hodnotiť:
 

Logika ti tiež veľmi nejde.
Odpovedať Známka: 6.9 Hodnotiť:
 

zverejni kriticku chybu v jadre Windowsu/MacOS a ocakavaj do mesiaca s pravidelnymi updatmi opravu.

zverejni kriticku chybu v jadre linuxu a najneskor zajtra rano mas patch ktory si mozes aplikovat sam, pripadne do par dni bude aplikovany vo vsetkych major distribuciach.

a ked sme pri zakaznikoch: openSSL vyuziva vyac zakaznikov nez windows 7. nie na desktopoch sice, ale za kazdy desktop ti niekde bezi niekolko serverov. vacsina z nich na linuxoch/unixoch, z nich vacsina s openSSL.
tolko k tvojim prdolatam ktore su na viac strojoch nez do kolko vie tvoja kalkulacka pocitat.
Odpovedať Známka: 7.8 Hodnotiť:
 

vyac... do smrti nepochopim ako sa mi toto mohlo podarit :D
Odpovedať Známka: 5.0 Hodnotiť:
 

standardny jazykovy problem - ked si vymyslal chujoviny, mozog ma problem spravne riesit ine veci /v tvojom pripade tipovat pravopis/.
teda, cim viac kokotin trepes - tym horsie to s tebou vyzera. a duplom, ak nie si skalopevne presvedceny o tom, co vlastne pises.
Odpovedať Známka: 3.3 Hodnotiť:
 

neviem-neviem...

oprav ma, ak sa mylim, ta chyba, ktora ti 'akosi pozabudla' skopirovat niektore subory na externy disk uz bola opravena? nahlasene to bolo v 2008... :D
a dalej pokracujeme: prehrievanie cpu, crash kernelu, page allocation... bugy a chyby, ktore su uz roky nahlasene a tahaju sa pomaly od 2.6 kernelu... keby clovek fakt chcel, tak ti najde stovky (mozno aj tisice) kritickych chyb, s ktorymi uz x rokov musia linuxaci zit...
Odpovedať Hodnotiť:
 

Blbosti pises ani o tom nevies. Venuj sa radsej plataniu Windows.
Odpovedať Hodnotiť:
 

takze nie...
ake prekvapive...
Odpovedať Hodnotiť:
 

> hlavne od spolocnosti, ktore po objaveni chyby ju nevedia odstranit skor ako tyzden po jej zverejneni

tak prr.. docela velka cast slusnych ludi, co chybu najde, take veci nahlasi cez nejaky private ticket alebo podobne; az ked aj po 2-3 mesiacoch ta chyba je stale dostupna, to daju aj verejnosti, aby donutili firmu konat
Odpovedať Známka: 5.0 Hodnotiť:
 

No nie je to také jednoduché, pretože - napríklad ak mili=onu ľudí vadí to, inému miliónu 200.000 zasa ono a ďalším 5 mili=onom zakázníkom to za istých okolností neprekáža, tačko sa niekedy hľadá rozumný všeobecne prijatý kompromis.
Napr. firma Novell vydala nejakú aplikáciu s nejakou už neviem čo to presne bolo, no u nás hovadinou, ale trval dosť slušný čas kým to aj v emerike uznali, že inak zmýšľajúcim ľuďom to nemusí vyhovovať, resp. až vadí a že potom vydali na to patch - opravu.
Odpovedať Hodnotiť:
 

pravda... ale ked ide o nejaku bezpecnostnu chybu, tam by firma nemala velmi rozmyslat ze o kolko tyzdnov ju opravi, aku fjucru uprednostnit a podobne
Odpovedať Hodnotiť:
 

No si predstav, koľko toho Mrkvosft softvérovo tvorí!
Každá procesorová architektúra a každá verzia Windows má odlišné aktualizácie! A ešte sa zisťuje čo je v konkrétnom stroji! Aktualizácie mnohé nie sú až tak univerzálne, ako sa vám mnohým zdá!!!
Odpovedať Hodnotiť:
 

Urcite lepsie ako napr. taky uzatvoreny flash ;)
Odpovedať Hodnotiť:
 

https://imgur.com/zd7Cmrr.jpg
Odpovedať Hodnotiť:
 

alebo patchom
Odpovedať Hodnotiť:

Pridať komentár